“AtomBombing” trickst Sicherheitsmechanismen von Windows aus

Forscher des Sicherheitsanbieters Ensilo haben einen Weg gefunden, mit dem sie ohne eine klassische Sicherheitslücke auszunutzen, in allen Windows-Versionen Schadcode einschleusen und ausführen können. Die von ihren Entdeckern “AtomBombing” genannte Angriffsmethode umgeht dazu Sicherheitsmechanismen des Betriebssystems. Da es sich aber um eine Folge für sich jeweils legitimer Aktionen handelt, kann zumindest signaturbasierende Sicherheitssoftware den Angriff nicht erkennen.

Die Bezeichnung “AtomBombing” geht auf die Windows-Funktion Atom Tables zurück. Die wird von den Forscher ausgenutzt, um sich unbefugt Zugriff zu verschaffen. In Atom Tables werden Strings und die zugehörigen Identifier des Betriebssystems gespeichert, die Funktionen anderer Anwendungen unterstützen. Die Forscher haben eigenen Angaben zufolge einen Weg gefunden, um in Atom Tables Schadcode einzufügen und installierte Programme dazu zu bringen, diesen Code aufzurufen und Aktionen auszuführen, die vom Besiter des Rechners nicht gewünscht werden.

Gängige Sicherheitssoftware für Windows sei nicht in der Lage, diesen Code zu erkennen. “Unglücklicherweise kann der Fehler nicht gepatcht werden, da er nicht auf fehlerhaftem Code basiert, sondern vielmehr darauf, wie diese Mechanismen des Betriebssystems gestaltet wurden”, erklärt Tal Liberman, leitender Sicherheitsforscher bei Ensilo.

Mit der Angriffsmethode AtomBombing sollen sich mit Hilfe legitimer Programme dann persönliche Daten auszuspähen und Screenshots anfertigen lassen. Bei Nutzern des Browsers Chrome sei es zudem auch möglich, auf verschlüsselte Passwörter zuzugreifen, da er Passwörter mithilfe der Windows Data Protection API speichert. Daher könne Schadcode, der in einen Prozess eines lokalen Nutzers eingeschleust wurde, die Passwörter im Klartext auslesen, so die Forscher.

“AtomBombing basiert auf legitimen Mechanismen und Funktionen des Betriebssystems, um schädliche Aktionen auszuführen und zu verbergen”, so Liberman im Gespräch mit ZDNet USA. “Die größte Gefahr ist, dass gut motivierte Angreifer immer wieder kreative Techniken wie diese finden werden. Da sie neu ist und bisher noch nicht als gefährlich eingestuft wurde, kann die Methode leicht jedes Sicherheitsprodukt umgehen, das schädliche Aktivitäten heuristisch blockiert.” Er empfiehlt Firmen, grundsätzlich davon auszugehen, dass eine Kompromittierung ihrer Systeme nur eine Frage der Zeit und letzlich unausweichlich ist und daher eine Abwehrstrategie entwicklen, die damit zurechtkommt, dass die Angreifer bereits im System sind.

Ausgewähltes Whitepaper

Optimierungsbedarf bei Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Redaktion

View Comments

  • Ein aufschlussreicher Artikel. Der Autor sollte sich aber diesen Satz noch einmal genauer vornehmen (Großschreibungen von mir eingefügt!):
    "Da es ICH aber um eine Folge von jeder für sich genommenER, legitime Aktionen handelt, kann zumindest signaturbasierende Sicherheitssoftware den Angriff nicht erkennen."

    Frank Raudszus

Recent Posts

IT 2025: IT-Führungskräfte erwarten massiven KI-Ruck

Einsatz von KI-Lösungen wirbelt auch in deutschen Unternehmen die Liste der Top-Technologieanbieter durcheinander.

8 Stunden ago

Sofortzahlungen im Wandel: Sicherheit und KI als treibende Kräfte

Echtzeitüberweisungen erfüllen die Erwartungen der Nutzer an Geschwindigkeit, sind jedoch anfällig für spezifische Sicherheits- und…

11 Stunden ago

Blockaden und Risiken bei APM-Projekten vermeiden

Application Portfolio Management (APM) verspricht Transparenz, mehr IT-Leistung und Effizienz – theoretisch.

2 Tagen ago

BSI-Bericht: Sicherheitslage im Cyberraum bleibt angespannt

Im Berichtszeitraum Mitte 2023 bis Mitte 2024 wurden täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt.

3 Tagen ago

KI-Hype in der Cybersicherheit – oder besser doch nicht?

KI kommt in der Cybersicherheit zum Einsatz, etwa um Abweichungen im Netzwerkverkehr zu identifizieren. Ist…

3 Tagen ago

Netzwerksegementierung schützt vor Angriffen über die OT

Ungepatchte und veraltetete Maschinen-Software ist ein beliebtes Einfallstor für Hacker, warnt Nils Ullmann von Zscaler…

4 Tagen ago