SoftoRooM LifeRooM Whois RSS GZip WAP Поиск Правила Помощь Disclaimer
Твой софтовый форумТвой софтовый форумТвой софтовый форумТвой софтовый форум

Здравствуйте, Гость ( Вход | Регистрация )

Атака AtomBombing позволяет осуществить инъекцию кода

Вид темы: Стандартный · [ Линейный ] · Режимы сортировки: [ По возрастанию (0-9) ] · По убыванию (9-0)

> Атака AtomBombing позволяет осуществить инъекцию кода, и опасна для всех версий Windows


 
post 31.10.2016 - 23:33
Отправлено #1
KLUCHICK



профи!
[SoftoRooMTeaM] Group Icon

Профиль
Группа: СуперМодераторы
Сообщений: 5.111
Регистрация: 15.03.2004
Из: The Ural federal district
Пользователь №: 326


Респектов: 3408
-----XXXXX




Атака AtomBombing позволяет осуществить инъекцию кода и опасна для всех версий Windows


Исследователи из компании enSilo разработали новую технику внедрения кода в легитимные процессы, которая позволяет малвари обойти практически все современные механизмы защиты. Методика получила название «Атомная бомбардировка» (AtomBombing), так как атака концентрируется вокруг использования таблиц атомов (atom table). По сути, атака не эксплуатирует никаких багов, но полагается на слабые стороны Windows.

Таблицы атомов в Windows используются приложениями для хранения информации об объектах, строках и идентификаторах для доступа к ним. Доступ к таблицам и модификации данных в них есть фактически у любых приложений. Исследователи из enSilo решили воспользоваться данной особенностью работы ОС для построения новой техники атак и преуспели. По сути, AtomBombing эксплуатирует особенности самой Windows, так как операционная система позволяет модифицировать таблицы атомов и внедрять в них какой-либо код (в том числе вредоносный), который в итоге будет выполнен легитимным приложением. Внедрившись в легитимный процесс, малварь может легко остаться незамеченной для защитных механизмов.

«Многие средства обеспечения безопасности имеют белый список для доверенных процессов. Если атакующий сможет внедрить вредоносный код в один из этих процессов, он с легкостью обойдет защитные механизмы», — пишут исследователи.
Помимо возможности внедрения в процессы, инъекция кода с помощью AtomBombing также позволяет атакующему реализовать браузерную man-in-the-middle атаку, удаленно делать снимки экрана и получить доступ к зашифрованным паролям, хранящимся в браузере. Так как Google Chrome шифрует и хранит пароли с помощью Windows Data Protection API (DPAPI), малварь внедрившая в процесс текущего пользователя способна «увидеть» пароли и виде простого текста, так как API использует для шифрования и расшифровки данные текущего юзера.

Кроме того, внедрив код в браузер, атакующие смогут подменять контент, который видит пользователь. К примеру, при осуществлении банковского перевода злоумышленники могут подменить адрес платежа или сумму перевода, о чем жертва даже не догадается.

Исследователи enSilo пишут, что с патчем для AtomBombing могут возникнуть серьезные проблемы. Здесь нет уязвимости, которую можно исправить, для устранения бреши разработчикам Microsoft придется пересматривать базовые механизмы работы самой ОС, что практически не реализуемо. unsure.gif

Утащил новость с xaker.ru


Делайте правильные выводы! И правильный выборwink.gif
User is offlineProfile CardPM
Go to the top of the pageGo to the end of the page
+Quote Post

 
Reply to this topicStart new topicStart Poll
Ответов(1 - 2)
 
post 1.11.2016 - 1:03
Отправлено #2
AquaTour



Грамотный
***

Профиль
Группа: Пользователи
Сообщений: 281
Регистрация: 4.07.2005
Пользователь №: 27.183


Респектов: 40
-----X----


Предупреждений:   1


а еще много лет существует механизм хуков, который позволяет внедрить свои обработчики в вызовы API, или можно подменить dll, новость близка к "пуку в лужу", наподобие "все линукс дистрибутивы беззащитны перед подменой libc"
Делайте выбор в пользу системы, есть такая опасная возможность, как rm -rf. Ах, ну да, там же для защиты от штатной возможности системы налепили костылей...
User is offlineProfile CardPM
Go to the top of the pageGo to the end of the page
+Quote Post

 
post 1.11.2016 - 12:05
Отправлено #3
HugoBo-SS



тут-та-ту
[SoftoRooMTeaM] Group Icon

Профиль
Группа: Дружинники
Сообщений: 9.127
Регистрация: 3.04.2008
Из: Russia SPb
Пользователь №: 827.869


Респектов: 3674
-----XXXXX




Инъекция кода - хук. Без хуков жизнь - не жизнь, а жалкое подобие левой руки wink.gif

Главная уязвимость операционной системы ( любой) - её безграмотный или неграмотный администратор и ( или) пользователь. biggrin.gif
User is offlineProfile CardPM
Go to the top of the pageGo to the end of the page
+Quote Post


Reply to this topicTopic OptionsStart new topic
 


Сейчас: 8.12.2016 - 17:20
LITE - версия