AtomBombing: Zero-Day-Lücke bedroht alle Windows-Versionen

Sie basiert allerdings nicht auf einem Codefehler, sondern auf legitimen Windows-Funktionen. Die Lücke kann deswegen nicht gepatcht werden. Zudem umgehen AtomBombing-Angriffe aktuelle Sicherheitsprodukte.

Forscher des Sicherheitsanbieters Ensilo haben eine Zero-Day-Lücke in Windows entdeckt, die das Einschleusen und Ausführen von Schadcode erlaubt. Die von ihnen als „AtomBombing“ bezeichnete Angriffsmethode umgeht zudem die Sicherheitsmechanismen des Betriebssystems. Betroffen sind alle Versionen des Microsoft-Betriebssystems, darunter auch Windows 10.

Sicherheit (Bild: Shutterstock)„Unglücklicherweise kann der Fehler nicht gepatcht werden, da er nicht auf fehlerhaftem Code basiert, sondern vielmehr darauf, wie diese Mechanismen des Betriebssystems gestaltet wurden“, schreibt Tal Liberman, leitender Sicherheitsforscher bei Ensilo, in einem Blogeintrag.

Der Name AtomBombing leitet sich von der Windows-Funktion Atom Tables ab, die die Forscher benutzen, um das Betriebssystem zu kompromittieren. Atom Tables speichern Strings und die zugehörigen Identifiers des Betriebssystems, die wiederum Funktionen anderer Anwendungen unterstützen. Den Forschern ist es nach eigenen Angaben gelungen, Schadcode in Atom Tables einzufügen und legitime Programme dazu zu bringen, diesen Code abzurufen.

Sicherheitssoftware ist nicht in der Lage, diesen Code zu erkennen. Legitime Programme können jedoch dazu gebracht werden, schädliche Funktionen auszuführen.

Schadprogramme, die die AtomBombing-Technik nutzen, seien aber nicht nur in der Lage, Sicherheitsprodukte zu umgehen, sondern auch persönliche Daten auszuspähen und Screenshots anzufertigen. Auch der Zugriff auf verschlüsselte Passwörter sei möglich, da Google Chrome Passwörter mithilfe des Windows Data Protection API speichere. Schadcode, der in einen Prozess eines lokalen Nutzers eingeschleust werde, könne die Passwörter im Klartext auslesen, so die Forscher weiter.

„AtomBombing basiert auf legitimen Mechanismen und Funktionen des Betriebssystems, um schädliche Aktionen auszuführen und zu verbergen“, sagte Liberman im Gespräch mit ZDNet USA. „Die größte Gefahr ist, dass gut motivierte Angreifer immer wieder kreative Techniken wie diese finden werden. Da sie neu ist und bisher noch nicht als gefährlich eingestuft wurde, kann die Methode leicht jedes Sicherheitsprodukt umgehen, das schädliche Aktivitäten heuristisch blockiert. Wenn man davon ausgeht, dass eine Kompromittierung unausweichlich ist, sollten Organisationen eine Strategie in Betracht ziehen, die annimmt, dass die Angreifer bereits im System sind.“

HIGHLIGHT

Mehr Sicherheit im smarten Zuhause

Wie Sie Ihr persönliches Internet der Dinge vor versteckten Gefahren schützen

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Microsoft, Security, Sicherheit, Windows

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

6 Kommentare zu AtomBombing: Zero-Day-Lücke bedroht alle Windows-Versionen

Kommentar hinzufügen
  • Am 28. Oktober 2016 um 19:53 von xar61

    Das unser System voller Hintertüren für den Geheimdienst und Co ist kann sich jeder denken, ist auch nichts verwerfliches dran. Was ich aber bemängele und daher hinterfragen möchte bezieht sich auf die Top Überschrift “ …. bedroht alle Windowsversionen “ Mein Bauchgefühl sagt mir, das hier einwenig übertrieben wird, soweit wie ich mich in Win auskenne taucht dieses Tab blabla erst ab Win7 auf und kann über die Reg lahm gelegt werden.

  • Am 29. Oktober 2016 um 0:36 von Judas Ischias

    Und was soll man jetzt machen?
    Etwa zu Apple wechseln?

  • Am 29. Oktober 2016 um 17:53 von J. Stillger

    Da hilft wohl nur zweierlei
    Entweder ohne Internetverbindung zu arbeiten oder ein Umstieg auf Linux oder ein anderes OS

  • Am 31. Oktober 2016 um 15:28 von Marvin

    nichts verwerfliches???

  • Am 1. November 2016 um 19:24 von Gast

    Welcher RegKey wäre das (zum Abschalten)?
    Nach meiner Info gehören AtomTables zu DDE, was bereits sehr früh in Windows integriert war.
    Selbst wenn es erst seit Win7 wäre, dann wäre das die nahezu ganze installierte Windows Basis, für welche es noch Sicherheitspatches gibt (abgesehen von WinXP Großkunden mit Spezialverträgen).

  • Am 2. November 2016 um 7:14 von ckOne

    Das ist bitter, denn es geht sehr schnell, den User dazu zu bringen auf einen Mail-Anhang zu klicken, egal welches Betriebssystem !!
    Wichtiger denn je : Standarduserkonto zum normalen Arbeiten verwenden, nur so kann man verhindern, daß etwas unbemerkt installiert wird. Wer dann allerdings die Erlaubnis gibt den Schadcode zu installieren, der hat ein Problem !

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *