Onderzoekers injecteren zonder kwetsbaarheid malafide code in legitieme apps

  1. 28 okt 2016
  2. 0 reacties

Onderzoekers zijn erin geslaagd malafide code te injecteren in Windows systemen. Opvallend is dat zij hierbij geen gebruik hebben gemaakt van een kwetsbaarheid, maar van een onderliggende mechanisme in Windows genaamd ‘atom tables’.

Het probleem is ontdekt door enSilo, die de aanvalsmethode ‘AtomBombing’ heeft genoemd. enSilo stelt dat er geen manier is om deze aanval via een patch onmogelijk te maken, aangezien er geen kwetsbaarheid wordt uitgebuit. AtomBombing is mogelijk op alle Windows versies vanaf Windows 2000 en kan volgens het beveiligingsbedrijf niet worden gedetecteerd door hedendaagse anti-malwareoplossingen.

Malafide code injecteren in legitieme apps

Het injecteren van code geeft aanvallers de mogelijkheid malafide code uit te voeren op systemen door deze te injecteren in een legitieme app of een legitiem proces. Bij AtomBombing wordt code geïntegreerd in de atom tables die in alle Windows-versies aanwezig zijn. Deze atom tables stellen Windows applicaties in staat data in de vorm van string en bijbehorende identifiers op te slaan, te delen en op te roepen.

Bij AtomBombing kunnen aanvallers malafide code injecteren in deze atom tables. Vervolgens kunnen zij applicaties dwingen de code uit deze tabellen op te halen en uit te voeren. Doordat de malafide code wordt uitgevoerd door een legitieme en vertrouwde app wordt deze niet door anti-malwareoplossingen opgemerkt.

Meer details

Meer informatie is te vinden in de blogpost die enSilo over AtomBombing heeft gepubliceerd.