r   e   k   l   a   m   a
r   e   k   l   a   m   a

AtomBombing pozwala na wstrzyknięcie złośliwego kodu w każdą wersję Windowsów. Łatki nie będzie

Strona główna AktualnościBEZPIECZEŃSTWO

Zgodnie z modą na atrakcyjne nazwy luk w bezpieczeństwie, dostaliśmy świetną nazwę: AtomBombing. Sęk w tym, że to nie jest żadna luka, a więc nie będzie do niej żadnej łatki. Microsoft będzie musiał gruntownie przerobić istotny element swoich systemów operacyjnych, po tym jak badacze z firmy EnSilo odkryli metodę jego nadużycia, otwierającego drogę do wstrzyknięcia złośliwego kodu w system. Chodzi o tabele atomiczne, w których windowsowe aplikacje przechowują informacje o często używanych typach danych.

W skrócie można powiedzieć, że napastnik jest w stanie wstrzyknąć w taką tabelę złośliwy kod i zarazem zmusić inny działający w systemie program do odczytania go z tabeli. Następnie można tak zmodyfikowany program zmusić do uruchomienia złośliwego kodu, z uprawnieniami już działającego programu. Tabele atomiczne (atom tables) są bowiem tak zaprojektowane, by łatwo było przez nie wymieniać dane między wszystkimi aplikacjami w systemie, unikając przy tym konfliktów o identyfikatory czy nazwy formatów używane przez inne aplikacje.

W ten sposób można obejść zabezpieczenia systemu (także najnowszego Windowsa 10) czy współcześnie używanych programów antywirusowych. Jedynym sposobem na zabezpieczenie się byłoby bezpośrednie monitorowanie wszystkich interfejsów systemowych pod kątem złośliwej aktywności, tego jednak nie robi dziś żaden mechanizm ochronny. Jak podkreślają odkrywcy, ich atak obchodzi antywirusy, antywirusy nowej generacji (NGAV) oraz biznesowe rozwiązania ochrony końcówek komputerowych.

r   e   k   l   a   m   a

Za pomocą takiego wstrzyknięcia danych możliwe jest obecnie obejście ograniczeń białych list procesów oraz przejęcie danych o ograniczonym dostępie, takich np. jak widok ekranu użytkownia (dostępny normalnie tylko dla procesów usług powiązanych z desktopem), aktywność w przeglądarce (w formie ataku man-in-the-middle), a nawet wykradnięcie haseł z aplikacji, przechowujących je w Windows Data Protection API.

Szczęśliwie dla użytkowników Windowsa, EnSilo jeszcze nie ujawniło technicznych szczegółów tego ataku. Nie ma co jednak spodziewać się, że długo będzie z tym czekać. W zeszłym roku badacze tej firmy odkryli metodę wstrzykiwania kodu o nazwie PowerLoaderEx, która pozwala na zrobienie tego bez wpisywania jakichkolwiek danych w atakowany proces. Przykład zastosowania szybko pojawił się na GitHubie.

Dlatego też nie będzie odpowiedzi na pytanie, co robić i jak żyć w erze AtomBombingu Windowsów. Eksperci z EnSilo twierdzą, że musimy nauczyć się budować zabezpieczenia w założeniu, że napastnik już wyexploitował nieznane nam podatności i przejął kontrolę nad środowiskiem, tak by konsekwencje tego ataku były jak najmniejsze. Coś takiego mówiła przecież też Joanna Rutkowska, budując swój bazujący na mechanizmach wirtualizacji system QubesOS. Zabawnie by było, gdyby to właśnie tego typu ataki zmusiły Microsoft do porzucenia swojego anachronicznego jądra systemu, którego korzenie tkwią jeszcze w latach osiemdziesiątych.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.