На информационном ресурсе применяются рекомендательные технологии (информационные технологии предоставления информации на основе сбора, систематизации и анализа сведений, относящихся к предпочтениям пользователей сети "Интернет", находящихся на территории Российской Федерации)

Космос

8 376 подписчиков

Свежие комментарии

  • Сергей Бороздин
    Мой алгоритм - в статье на Самиздат и дзен "Библия как научный источник истории Мира"Единый алгоритм э...
  • дмитрий Антонов
    прошу прощения, меня тут небыло давно. А где Юрий В Радюшин? с Новым 2023 годомБыл запущен первы...
  • дмитрий Антонов
    жаль, что тема постепенно потерялась. а ведь тут было так шумно и столько интересного можно было узнать, помимо самих...Запущен CAPSTONE ...

Атака AtomBombing позволяет осуществить инъекцию кода и опасна для всех версий Windows

Мария Нефёдова 

Исследователи из компании enSilo разработали новую технику внедрения кода в легитимные процессы, которая позволяет малвари обойти практически все современные механизмы защиты. Методика получила название «Атомная бомбардировка» (AtomBombing), так как атака концентрируется вокруг использования таблиц атомов (atom table).

По сути, атака не эксплуатирует никаких багов, но полагается на слабые стороны Windows.

Таблицы атомов в Windows используются приложениями для хранения информации об объектах, строках и идентификаторах для доступа к ним. Доступ к таблицам и модификации данных в них есть фактически у любых приложений. Исследователи из enSilo решили воспользоваться данной особенностью работы ОС для построения новой техники атак и преуспели. По сути, AtomBombing эксплуатирует особенности самой Windows, так как операционная система позволяет модифицировать таблицы атомов и внедрять в них какой-либо код (в том числе вредоносный), который в итоге будет выполнен легитимным приложением. Внедрившись в легитимный процесс, малварь может легко остаться незамеченной для защитных механизмов.

 «Многие средства обеспечения безопасности имеют белый список для доверенных процессов. Если атакующий сможет внедрить вредоносный код в один из этих процессов, он с легкостью обойдет защитные механизмы», — пишут исследователи.

Помимо возможности внедрения в процессы, инъекция кода с помощью AtomBombing также позволяет атакующему реализовать браузерную man-in-the-middle атаку, удаленно делать снимки экрана и получить доступ к зашифрованным паролям, хранящимся в браузере. Так как Google Chrome шифрует и хранит пароли с помощью Windows Data Protection API (DPAPI), малварь внедрившая в процесс текущего пользователя способна «увидеть» пароли и виде простого текста, так как API использует для шифрования и расшифровки данные текущего юзера.

Кроме того, внедрив код в браузер, атакующие смогут подменять контент, который видит пользователь. К примеру, при осуществлении банковского перевода злоумышленники могут подменить адрес платежа или сумму перевода, о чем жертва даже не догадается.

Исследователи enSilo пишут, что с патчем для AtomBombing могут возникнуть серьезные проблемы. Здесь нет уязвимости, которую можно исправить, для устранения бреши разработчикам Microsoft придется пересматривать базовые механизмы работы самой ОС, что практически нереализуемо.

Источник: https://xakep.ru

Картина дня

наверх