Los investigadores de seguridad de Ensilo han descubierto una nueva vulnerabilidad de día cero en Windows que los atacantes pueden utilizar para inyectar y ejecutar código malicioso.
Las investigaciones llaman al exploit AtomBombing por su uso de una función de Windows llamada Atom Tables.
Lo que es particularmente interesante acerca de la vulnerabilidad es que no depende de las vulnerabilidades de seguridad de los componentes de Windows, sino de las funciones nativas de Windows.
Esto significa, según los investigadores, que Microsoft no podrá reparar el problema.
Desafortunadamente, este problema no puede ser corregido ya que no se basa en código roto o defectuoso, sino en cómo están diseñados estos mecanismos del sistema operativo.
Es especialmente preocupante que el problema afecte a todas las versiones de Windows y que los programas de seguridad que se ejecutan en el sistema (por ejemplo, firewall o antivirus) no detengan la ejecución de la vulnerabilidad.
via Breaking Malware
La técnica funciona de la siguiente manera en un nivel abstracto:
- El código malicioso debe ejecutarse en un equipo con Windows. Un usuario puede ejecutar código malicioso, por ejemplo.
- Este código es bloqueado generalmente por software antivirus u otro software o políticas de seguridad.
- En el caso de AtomBombing, el programa malicioso escribe el código malicioso en una tabla atómica (que es una función legítima de Windows y por lo tanto no se detendrá).
- A continuación, utiliza procesos legítimos a través de APC (Async Procedure Calls), un navegador web, por ejemplo, para recuperar el código de la tabla no detectado por el software de seguridad para ejecutarlo.
Lo que encontramos es que un actor de amenazas puede escribir código malicioso en una tabla atómica y forzar a un programa legítimo a recuperar el código malicioso de la tabla. También encontramos que el programa legítimo, que ahora contiene el código malicioso, puede ser manipulado para ejecutar ese código.
Los investigadores han publicado una explicación, muy técnica, de cómo funciona el AtomBombing. Si estás interesado en los detalles, te sugiero que lo compruebes ya que puede responder a todas las preguntas que puedas tener.
ZDnet tuvo la oportunidad de hablar con Tal Liberman, líder del equipo de investigación de seguridad de Ensilo, quien mencionó que la ejecución de código malicioso en una máquina Windows era sólo una de las muchas formas en que los atacantes podían utilizar AtomBombing.
Los atacantes podrían usar la técnica para tomar capturas de pantalla, extraer información sensible e incluso contraseñas encriptadas.
De acuerdo con la investigación, Google Chrome cifra las contraseñas almacenadas mediante la API de protección de datos de Windows. Cualquier ataque que se inyecte en un proceso que se ejecuta en el contexto del usuario activo podría tener acceso a los datos en texto plano.
Ensilio cree que Microsoft no puede reparar la vulnerabilidad de AtomBombing. Microsoft aún no ha respondido a la revelación.
Ahora Usted : ¿Cuál es su opinión sobre AtomBombing?
Resumen Article NameAtomBombing: Explotación de Windows de día ceroDescripciónLos investigadores de seguridad de Nesilo han descubierto una nueva explotación de día cero en Windows que los atacantes pueden utilizar para inyectar y ejecutar código malicioso.