Исследователи из компании enSilo разработали новую технику внедрения кода в легитимные процессы, которая позволяет малвари обойти практически все современные механизмы защиты. Методика получила название «Атомная бомбардировка» (AtomBombing), так как атака концентрируется вокруг использования таблиц атомов (atom table). По сути, атака не эксплуатирует никаких багов, но полагается на слабые стороны Windows.

Таблицы атомов в Windows используются приложениями для хранения информации об объектах, строках и идентификаторах для доступа к ним. Доступ к таблицам и модификации данных в них есть фактически у любых приложений. Исследователи из enSilo решили воспользоваться данной особенностью работы ОС для построения новой техники атак и преуспели. По сути, AtomBombing эксплуатирует особенности самой Windows, так как операционная система позволяет модифицировать таблицы атомов и внедрять в них какой-либо код (в том числе вредоносный), который в итоге будет выполнен легитимным приложением. Внедрившись в легитимный процесс, малварь может легко остаться незамеченной для защитных механизмов.

«Многие средства обеспечения безопасности имеют белый список для доверенных процессов. Если атакующий сможет внедрить вредоносный код в один из этих процессов, он с легкостью обойдет защитные механизмы», — пишут исследователи.

Помимо возможности внедрения в процессы, инъекция кода с помощью AtomBombing также позволяет атакующему реализовать браузерную man-in-the-middle атаку, удаленно делать снимки экрана и получить доступ к зашифрованным паролям, хранящимся в браузере. Так как Google Chrome шифрует и хранит пароли с помощью Windows Data Protection API (DPAPI), малварь внедрившая в процесс текущего пользователя способна «увидеть» пароли и виде простого текста, так как API использует для шифрования и расшифровки данные текущего юзера.

Кроме того, внедрив код в браузер, атакующие смогут подменять контент, который видит пользователь. К примеру, при осуществлении банковского перевода злоумышленники могут подменить адрес платежа или сумму перевода, о чем жертва даже не догадается.

Исследователи enSilo пишут, что с патчем для AtomBombing могут возникнуть серьезные проблемы. Здесь нет уязвимости, которую можно исправить, для устранения бреши разработчикам Microsoft придется пересматривать базовые механизмы работы самой ОС, что практически нереализуемо.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    2 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии