Forscher des Sicherheitsanbieters Ensilo haben einen Weg gefunden, mit dem sie ohne eine klassische Sicherheitslücke auszunutzen, in allen Windows-Versionen Schadcode einschleusen und ausführen können. Die von ihren Entdeckern “AtomBombing” genannte Angriffsmethode umgeht dazu Sicherheitsmechanismen des Betriebssystems. Da es sich aber um eine Folge für sich jeweils legitimer Aktionen handelt, kann zumindest signaturbasierende Sicherheitssoftware den Angriff nicht erkennen.
Die Bezeichnung “AtomBombing” geht auf die Windows-Funktion Atom Tables zurück. Die wird von den Forscher ausgenutzt, um sich unbefugt Zugriff zu verschaffen. In Atom Tables werden Strings und die zugehörigen Identifier des Betriebssystems gespeichert, die Funktionen anderer Anwendungen unterstützen. Die Forscher haben eigenen Angaben zufolge einen Weg gefunden, um in Atom Tables Schadcode einzufügen und installierte Programme dazu zu bringen, diesen Code aufzurufen und Aktionen auszuführen, die vom Besiter des Rechners nicht gewünscht werden.
Gängige Sicherheitssoftware für Windows sei nicht in der Lage, diesen Code zu erkennen. “Unglücklicherweise kann der Fehler nicht gepatcht werden, da er nicht auf fehlerhaftem Code basiert, sondern vielmehr darauf, wie diese Mechanismen des Betriebssystems gestaltet wurden”, erklärt Tal Liberman, leitender Sicherheitsforscher bei Ensilo.
Mit der Angriffsmethode AtomBombing sollen sich mit Hilfe legitimer Programme dann persönliche Daten auszuspähen und Screenshots anfertigen lassen. Bei Nutzern des Browsers Chrome sei es zudem auch möglich, auf verschlüsselte Passwörter zuzugreifen, da er Passwörter mithilfe der Windows Data Protection API speichert. Daher könne Schadcode, der in einen Prozess eines lokalen Nutzers eingeschleust wurde, die Passwörter im Klartext auslesen, so die Forscher.
“AtomBombing basiert auf legitimen Mechanismen und Funktionen des Betriebssystems, um schädliche Aktionen auszuführen und zu verbergen”, so Liberman im Gespräch mit ZDNet USA. “Die größte Gefahr ist, dass gut motivierte Angreifer immer wieder kreative Techniken wie diese finden werden. Da sie neu ist und bisher noch nicht als gefährlich eingestuft wurde, kann die Methode leicht jedes Sicherheitsprodukt umgehen, das schädliche Aktivitäten heuristisch blockiert.” Er empfiehlt Firmen, grundsätzlich davon auszugehen, dass eine Kompromittierung ihrer Systeme nur eine Frage der Zeit und letzlich unausweichlich ist und daher eine Abwehrstrategie entwicklen, die damit zurechtkommt, dass die Angreifer bereits im System sind.
Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Meist steht die Sicherheit von Infrastruktur und Cloud im Fokus. Auch Anwendungen sollten höchsten Sicherheitsanforderungen…
Das finnische Facility-Service-Unternehmen ISS Palvelut hat eine umfassende Transformation seiner Betriebsabläufe und IT-Systeme eingeleitet.
PDFs werden zunehmend zum trojanischen Pferd für Hacker und sind das ideale Vehikel für Cyber-Kriminelle,…
Laut Teamviewer-Report „The AI Opportunity in Manufacturing“ erwarten Führungskräfte den größten Produktivitätsboom seit einem Jahrhundert.
Microsoft erobert zunehmend den Markt für Cybersicherheit und setzt damit kleinere Wettbewerber unter Druck, sagt…
Nur 14 Prozent der Führungskräfte in der IT sind weiblich. Warum das so ist und…
View Comments
Ein aufschlussreicher Artikel. Der Autor sollte sich aber diesen Satz noch einmal genauer vornehmen (Großschreibungen von mir eingefügt!):
"Da es ICH aber um eine Folge von jeder für sich genommenER, legitime Aktionen handelt, kann zumindest signaturbasierende Sicherheitssoftware den Angriff nicht erkennen."
Frank Raudszus