Security Kurzmeldung: AtomBombing – Neuer Angriff gegen Windows

Angriffe auf Windows sind für den erfahrenen Leser von Security Meldungen nichts neues. Aber mit dem aktuellen Fund wurde das Ausmaß um einiges überstiegen. Kurz zu den Fakten der Angriffsmöglichkeit:

  • Momentane Bezeichnung: AtomBombing
  • Ziel System: Windows Atom Tables
  • Zweck des Systems: Austausch von Zeichenketten zwischen Prozessen
  • Entdecker: enSilo

Wie sieht der AtomBombing Angriff aus?

Wie bei jeder anderen Malware auch ist es auch hier nötig den Benutzer dazu zu bringen ein Programm zu starten. Das funktionierte in der Vergangenheit immer sehr gut. Da können wir Security Spezialisten und Administratoren noch so darauf pochen, aber unbekannte Anhänge in E-Mails sind nach wie vor sehr begehrt. Sobald das eingeschleuste Skript gestartet wurde, muss an die richtige Stelle im Arbeitsspeicher der eigentliche Programmcode in die Atom Tables abgesetzt werden. Ab hier lässt sich der Code von einem Prozess, der die Daten abholt eventuell ausführen.

Ganz einfach oder?

Leider nicht ganz. Die genauen Details hat breakingmalware.com aufgezeigt und erläutert im Detail wie ein Angriff aussehen könnte.

Wie lässt sich der AtomBombing Angriff verhindern?

Aktuell lässt sich der Angriff nicht wirklich erkennen. Vorausgesetzt der anfängliche Klick auf das Programm klappt, wird es schwierig etwas zu erkennen, dass böse Absichten hat, denn die Atom Tables zu benutzen ist per se kein Verbrechen und ein legitimes Mittel des Datenaustausches. Hinter den bereits laufenden Prozessen befindet sich in der Regel auch keine Malware, sondern Browser, Office Produkte, Musik Player und vieles weitere. Der eingeschleuste Programm Code in den Atom Tables wird somit von einem validen Prozess ausgeführt und die Infektion beginnt ihren Lauf.

Aktuelle Anti-Viren Software sowie teure APT Lösungen, um zielgerichtete Angriffe zu erkennen, werden sich vorerst an dieser Lücke die Zähne ausbeißen. Es gibt keine effektive Möglichkeit zu prüfen, in welchen Atom Tables nun legitime Daten stehen oder schädlicher Programm Code. Microsoft hat sich zu dieser Lücke leider noch nicht geäußert, aber viele Stimmen werden lauter, die besagen, dass die Lücke wohl “unpatchbar” ist.

Was sind die Auswirkungen des AtomBombing Bugs?

Noch ist überhaupt schwierig abzuschätzen, ob ein praktikabler Angriff entwickelt werden kann. Vorerst bleiben nur zwei Möglichkeiten:

  • Abwarten und Beobachten!
  • Keine unbekannten Anhänge in Mails öffnen!

Durchaus möglich wäre eine Entwicklung in die Richtung der Unpraktikabilität, was damit den Pwnie Awards, für den “Most Over-hyped Bug”, zur Folge haben kann. Zu Deutsch: Viel Lärm um nichts!

Beitragsbild von Jon S – Newspapers B&W verändert wieder verwendet gemäß Creative Commons License (CC-BY 2.0)

Artikel teilen:

Kommentar verfassen