In allen Windows-Versionen klafft eine Zero-Day-Sicherheitslücke, die für Angriffe ausgenutzt werden kann, und ohne dass eine Sicherheitssoftware das erkennt. Die AtomBombing genannte Sicherheitslücke ist kürzlich beschrieben worden.
Anzeige
Leute, ihr müsste jetzt sehr stark sein, wenn ihr mit Windows unterwegs seit. Gut, ich weiß: Windows 10-Nutzer sind eh keine Weicheier, aber es trifft auch ältere Windows-Versionen – egal ob voll gepatcht oder nicht, mit Virenscanner ausgestattet oder nicht.
Die Sicherheitslücke wird in diesem Blog erstmals beschrieben und ermöglicht die "Code-Injection", ohne dass Sicherheitsfunktionen unter Windows das erkennen bzw. verhindern können. Wie die Sicherheitsforscher schreiben, wird sich der Zero-Day-Exploit wohl auch nicht patchen lassen, da es eine Windows-eigene Funktion Atom Tables betrifft.
Diese Atom Tables sind im System definiert und werden verwendet, um Zeichenketten (Strings) samt den zugehörigen IDs für Anwendungen zu speichern. Der Mechanismus ist in diesem MSDN-Artikel beschrieben. Gelingt es nun, Schadcode in Atom Tables zu schieben (Code Injection), kann das System übernommen werden. Man muss wohl eine modifizierte Anwendung ausführen, die den injizierten Code aus den Atom Tables liest und dann ausführen kann. So sollen sich etwa Nutzerdaten, Kennwörter abfischen sowie Screenshots anfertigen lassen.
Bei ZDNet.com schreibt man in diesem deutschen Beitrag, dass der Zugriff auch auf verschlüsselte Passwörter möglich sei. Grund: Google Chrome schreibt Kennwörter per Windows Data Protection API auf die Festplatte. Dadurch kann Schadcode, der im Kontext eines Benutzerkontos läuft, diese Kennwörter im Klartext auslesen.
Der Original-Blog-Beitrag ist zwar recht umfangreich. Das genaue Angriffsszenario, und wie man Code in die Atom Tables injiziert, ist nicht beschrieben (siehe auch diesen heise.de-Beitrag). Das einzig Gute: Man braucht wohl eine Anwendung, die die Atom Tables mit Schadcode füllt und dann ggf. eine zweite Anwendung, die den injizierten Code ausliest. Einfach mal eine Webseite ansurfen und schon infiziert sein, reicht wohl (noch) nicht. Der Autor des Blog-Beitrags schreibt aber, dass Microsoft diese Sicherheitslücke niemals patchen kann. Einzige Langfrist-Lösung: Die API-Calls auf Aktionen, die auf Malware hindeuten, überwachen. Wäre einmal ein Feld, wo sich Sicherheitslösungen austoben könnten ("jetzt neu, mit AtomBombing-Schutz"), und ggf. auch KI-Techniken zum Einsatz kommen. Eine Stellungnahme von Microsoft steht noch aus. Wir werden sehen, was da noch zukünftig ans Tageslicht kommt.
2015
Ich schätze, das ist die seit Jahren gesuchte NSA-Hintertür in Windows! ;) :)
Passt ja zu Halloween…
;-)
Schönes WE
Die genannte Sicherheitslücke wurde wohl vor vier Jahren schon das erste Mal beschrieben.
http://mista.nu/research/smashing_the_atom.pdf – von 2012.
Und Code, der lokal außerhalb einer Sandbox ausgeführt wird, kann sowieso erst einmal alles mögliche machen, wozu der Benutzer in seinem Kontext Rechte hat.
Wenn man jemanden dazu bringt, lokalen Code auszuführen, dann ist es gar nicht mehr notwendig, solche Umwege über die AtomTables zu gehen, um als böser Bub zum Ziel zu kommen.
Ich würde das eher als Sturm im Wasserglas sehen.
Danke für die Ergänzung – hatte den Link die Nacht hier schon gesehen, bisher aber keine Zeit, den Kommentar zu ergänzen.
Unglaublich! Habe eben mit einem Mitarbeiter von MS gesprochen. Der meinte tatsächlich, man habe von dieser Schwachstelle im Betrieb angeblich noch nie etwas gehört. Echt traurig…