Forscher des Sicherheitsanbieters Ensilo haben einen Weg gefunden, mit dem sie ohne eine klassische Sicherheitslücke auszunutzen, in allen Windows-Versionen Schadcode einschleusen und ausführen können. Die von ihren Entdeckern “AtomBombing” genannte Angriffsmethode umgeht dazu Sicherheitsmechanismen des Betriebssystems. Da es sich aber um eine Folge für sich jeweils legitimer Aktionen handelt, kann zumindest signaturbasierende Sicherheitssoftware den Angriff nicht erkennen.
Die Bezeichnung “AtomBombing” geht auf die Windows-Funktion Atom Tables zurück. Die wird von den Forscher ausgenutzt, um sich unbefugt Zugriff zu verschaffen. In Atom Tables werden Strings und die zugehörigen Identifier des Betriebssystems gespeichert, die Funktionen anderer Anwendungen unterstützen. Die Forscher haben eigenen Angaben zufolge einen Weg gefunden, um in Atom Tables Schadcode einzufügen und installierte Programme dazu zu bringen, diesen Code aufzurufen und Aktionen auszuführen, die vom Besiter des Rechners nicht gewünscht werden.
Gängige Sicherheitssoftware für Windows sei nicht in der Lage, diesen Code zu erkennen. “Unglücklicherweise kann der Fehler nicht gepatcht werden, da er nicht auf fehlerhaftem Code basiert, sondern vielmehr darauf, wie diese Mechanismen des Betriebssystems gestaltet wurden”, erklärt Tal Liberman, leitender Sicherheitsforscher bei Ensilo.
Mit der Angriffsmethode AtomBombing sollen sich mit Hilfe legitimer Programme dann persönliche Daten auszuspähen und Screenshots anfertigen lassen. Bei Nutzern des Browsers Chrome sei es zudem auch möglich, auf verschlüsselte Passwörter zuzugreifen, da er Passwörter mithilfe der Windows Data Protection API speichert. Daher könne Schadcode, der in einen Prozess eines lokalen Nutzers eingeschleust wurde, die Passwörter im Klartext auslesen, so die Forscher.
“AtomBombing basiert auf legitimen Mechanismen und Funktionen des Betriebssystems, um schädliche Aktionen auszuführen und zu verbergen”, so Liberman im Gespräch mit ZDNet USA. “Die größte Gefahr ist, dass gut motivierte Angreifer immer wieder kreative Techniken wie diese finden werden. Da sie neu ist und bisher noch nicht als gefährlich eingestuft wurde, kann die Methode leicht jedes Sicherheitsprodukt umgehen, das schädliche Aktivitäten heuristisch blockiert.” Er empfiehlt Firmen, grundsätzlich davon auszugehen, dass eine Kompromittierung ihrer Systeme nur eine Frage der Zeit und letzlich unausweichlich ist und daher eine Abwehrstrategie entwicklen, die damit zurechtkommt, dass die Angreifer bereits im System sind.
Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…
Cloud-Trends 2025: Zahlreiche neue Technologien erweitern die Grenzen von Cloud Computing.
Noah Labs wollen Kardiologie-Praxen und Krankenhäuser in Deutschland durch KI-gestütztes Telemonitoring von Patienten entlasten.
Neun von zehn deutschen Managern erwarten, dass der Einsatz von KI auf ihre Nachhaltigkeitsziele einzahlen…
Intergermania Transport automatisiert die Belegerfassung mit KI und profitiert von 95 Prozent Zeitersparnis.
Cyberattacken finden in allen Branchen statt, und Geschwindigkeit und Häufigkeit der Angriffe werden weiter zunehmen,…
View Comments
Ein aufschlussreicher Artikel. Der Autor sollte sich aber diesen Satz noch einmal genauer vornehmen (Großschreibungen von mir eingefügt!):
"Da es ICH aber um eine Folge von jeder für sich genommenER, legitime Aktionen handelt, kann zumindest signaturbasierende Sicherheitssoftware den Angriff nicht erkennen."
Frank Raudszus