AtomBombing pozwala na wstrzyknięcie złośliwego kodu w każdą wersję Windowsów. Łatki nie będzie

Zgodnie z modą na atrakcyjne nazwy luk w bezpieczeństwie,dostaliśmy świetną nazwę: AtomBombing. Sęk w tym, że to niejest żadna luka, a więc nie będzie do niej żadnej łatki.Microsoft będzie musiał gruntownie przerobić istotny elementswoich systemów operacyjnych, po tym jak badacze z firmy EnSiloodkryli metodę jego nadużycia, otwierającego drogędo wstrzyknięcia złośliwego kodu w system. Chodzi o tabeleatomiczne, w których windowsowe aplikacje przechowują informacje oczęsto używanych typach danych.

AtomBombing pozwala na wstrzyknięcie złośliwego kodu w każdą wersję Windowsów. Łatki nie będzie

28.10.2016 13:42

W skrócie można powiedzieć, że napastnik jest w staniewstrzyknąć w taką tabelę złośliwy kod i zarazem zmusić innydziałający w systemie program do odczytania go z tabeli. Następniemożna tak zmodyfikowany program zmusić do uruchomienia złośliwegokodu, z uprawnieniami już działającego programu. Tabele atomiczne(atomtables) są bowiem tak zaprojektowane, by łatwo było przez niewymieniać dane między wszystkimi aplikacjami w systemie, unikającprzy tym konfliktów o identyfikatory czy nazwy formatów używaneprzez inne aplikacje.

Obraz

W ten sposób można obejść zabezpieczenia systemu (także najnowszego Windowsa 10) czywspółcześnie używanych programów antywirusowych. Jedynymsposobem na zabezpieczenie się byłoby bezpośrednie monitorowaniewszystkich interfejsów systemowych pod kątem złośliwejaktywności, tego jednak nie robi dziś żaden mechanizmochronny. Jak podkreślająodkrywcy, ich atak obchodzi antywirusy, antywirusy nowej generacji(NGAV) oraz biznesowe rozwiązania ochrony końcówek komputerowych.

Za pomocą takiego wstrzyknięcia danych możliwe jest obecnieobejście ograniczeń białych list procesów oraz przejęcie danycho ograniczonym dostępie, takich np. jak widok ekranu użytkownia(dostępny normalnie tylko dla procesów usług powiązanych zdesktopem), aktywność w przeglądarce (w formie atakuman-in-the-middle), a nawet wykradnięcie haseł z aplikacji,przechowujących je w Windows Data Protection API.

Szczęśliwie dla użytkowników Windowsa, EnSilo jeszcze nieujawniło technicznych szczegółów tego ataku. Nie ma co jednakspodziewać się, że długo będzie z tym czekać. W zeszłym rokubadacze tej firmy odkryli metodę wstrzykiwania kodu o nazwiePowerLoaderEx, która pozwala na zrobienie tego bez wpisywaniajakichkolwiek danych w atakowany proces. Przykład zastosowaniaszybko pojawił się na GitHubie.

Dlatego też nie będzie odpowiedzi na pytanie, co robić i jakżyć w erze AtomBombingu Windowsów. Eksperci z EnSilo twierdzą, żemusimy nauczyć się budować zabezpieczenia w założeniu, żenapastnik już wyexploitował nieznane nam podatności i przejąłkontrolę nad środowiskiem, tak by konsekwencje tego ataku były jaknajmniejsze. Coś takiego mówiła przecież też Joanna Rutkowska,budując swój bazujący na mechanizmach wirtualizacji systemQubesOS. Zabawnie by było, gdyby to właśnie tego typu atakizmusiły Microsoft do porzucenia swojego anachronicznego jądrasystemu, którego korzenie tkwią jeszcze w latach osiemdziesiątych.

Programy

Zobacz więcej
Wybrane dla Ciebie
Komentarze (142)