AtomBombing napad - nova pretnja za sve verzije Windowsa

Nova tehnika omogućava ubacivanje malicioznog koda u sve verzije Windowsa. Problem leži u dizajnu OS-a i za sad je nepremostiv!

AtomBombing napad - nova pretnja za sve verzije Windowsa

Istraživači koji se bave sajber-bezbednošću su otkrili novu tehniku koja omogućava napadačima ubacivanje malicioznog koda u sve verzije Windows OS-a, čak i Windows 10. Nijedan od postojećih anti-malver alata ne može da ga detektuje tako da su ugroženi milioni računara širom sveta. Tehnika nazvana „atomska bomba“ ne eksploatiše nijednu ranjivost, ali iskorišćava dizajnersku slabost u Windowsu.

Novi napad ubacivanjem koda omogućava malveru da izbegne zaštitne mere

AtomBombing napad zloupotrebljava Atom tabele sistemskog nivoa. U pitanju je karakteristika Windowsa koja omogućava aplikacijama da čuvaju informacije u nizovima, objektima i drugim vrstama podataka kojima se pristupa na redovnoj bazi.

S obzirom na to da su Atom tabele zajedničke (deljene) tabele, razne vrste aplikacija mogu da pristupe i modifikuju podatke u tim tabelama. Istraživački tim iz kompanije EnSilo koji je osmislio ovu tehniku smatra da propust u dizajnu Windowsa može da omogući malicioznom kodu da modifikuje atom tabele i prevari legitimne aplikacije da izvrše maliciozne akcije u njegovo ime. Kada se ubaci u legitimne procese, malver olakšava napadačima zaobilaženje bezbednosnih mehanizama kojima je cilj da sistem zaštite od malvera.

AtomBombing može da izvrši i Man-In-The-Middle (MITM) napad, dešifruje lozinke i još ponešto

Pored gore opisanih problema koje AtomBombing može da izazove, on takođe može da omogući napadačima da izvrše MITM napad na browser, može da napravi snimak desktopa korisnika koji su meta napada i može da pristupi kriptovanim lozinkama koje se čuvaju u browseru.

Google Chrome kriptuje sačuvane lozinke pomoću Windows Data Protection API (DPAPI) koji koristi podatke dobijene od trenutnog korisnika kako bi šifrovao ili dešifrovao podatke i pristup lozinkama. Posledično, ako se malver ubaci u proces koji je već pokrenut u kontekstu trenutnog korisnika, lako je doći do teksta sa lozinkama.

Takođe, ubacivanjem malicioznog koda u browser, napadači mogu da modifikuju sadržaj koji se prikazuje korisniku. Na primer, ako je u pitanju neka novčana transakcija, klijentu se pokazuje tačna informacija o plaćanju preko ekrana za potvrdu. Ali, napadač može da modifikuje podatke tako da banka dobije lažnu informaciju o transakciji koja ide u korist napadača – dakle, informacija koja sadrži drugi broj računa i moguće drugi novčani iznos.

Nema zakrpe za AtomBombing!

Nažalost, ovaj problem se ne može zakrpiti zato što nije u pitanju ranjivost, greška ili problem u kodu, već u dizajnu OS-a. Da bi se problem rešio, Microsoft mora da promeni način na koji OS funkcioniše. To nije izvodljiva opcija, tako da ovaj problem ostaje nerešen. Čekamo odgovor Microsofta.

Izvor: ensilo.com