“AtomBombing” trickst Sicherheitsmechanismen von Windows aus

SicherheitSicherheitsmanagement

Forscher des Sicherheitsanbieters Ensilo nutzen mit dieser Methode erlaubte und normale Windows-Funktionen. Daher ist es mit einem Patch, der Fehler im Code beheben würde, nicht getan. Sie können mit ihrer Angriffsmethode “AtomBombing” zudem auch diverse Sicherheitssoftware für Windows-Rechner überlisten.

Forscher des Sicherheitsanbieters Ensilo haben einen Weg gefunden, mit dem sie ohne eine klassische Sicherheitslücke auszunutzen, in allen Windows-Versionen Schadcode einschleusen und ausführen können. Die von ihren Entdeckern “AtomBombing” genannte Angriffsmethode umgeht dazu Sicherheitsmechanismen des Betriebssystems. Da es sich aber um eine Folge für sich jeweils legitimer Aktionen handelt, kann zumindest signaturbasierende Sicherheitssoftware den Angriff nicht erkennen.

Die Bezeichnung “AtomBombing” geht auf die Windows-Funktion Atom Tables zurück. Die wird von den Forscher ausgenutzt, um sich unbefugt Zugriff zu verschaffen. In Atom Tables werden Strings und die zugehörigen Identifier des Betriebssystems gespeichert, die Funktionen anderer Anwendungen unterstützen. Die Forscher haben eigenen Angaben zufolge einen Weg gefunden, um in Atom Tables Schadcode einzufügen und installierte Programme dazu zu bringen, diesen Code aufzurufen und Aktionen auszuführen, die vom Besiter des Rechners nicht gewünscht werden.

Security (Bild: Shutterstock)

Gängige Sicherheitssoftware für Windows sei nicht in der Lage, diesen Code zu erkennen. “Unglücklicherweise kann der Fehler nicht gepatcht werden, da er nicht auf fehlerhaftem Code basiert, sondern vielmehr darauf, wie diese Mechanismen des Betriebssystems gestaltet wurden”, erklärt Tal Liberman, leitender Sicherheitsforscher bei Ensilo.

Mit der Angriffsmethode AtomBombing sollen sich mit Hilfe legitimer Programme dann persönliche Daten auszuspähen und Screenshots anfertigen lassen. Bei Nutzern des Browsers Chrome sei es zudem auch möglich, auf verschlüsselte Passwörter zuzugreifen, da er Passwörter mithilfe der Windows Data Protection API speichert. Daher könne Schadcode, der in einen Prozess eines lokalen Nutzers eingeschleust wurde, die Passwörter im Klartext auslesen, so die Forscher.

“AtomBombing basiert auf legitimen Mechanismen und Funktionen des Betriebssystems, um schädliche Aktionen auszuführen und zu verbergen”, so Liberman im Gespräch mit ZDNet USA. “Die größte Gefahr ist, dass gut motivierte Angreifer immer wieder kreative Techniken wie diese finden werden. Da sie neu ist und bisher noch nicht als gefährlich eingestuft wurde, kann die Methode leicht jedes Sicherheitsprodukt umgehen, das schädliche Aktivitäten heuristisch blockiert.” Er empfiehlt Firmen, grundsätzlich davon auszugehen, dass eine Kompromittierung ihrer Systeme nur eine Frage der Zeit und letzlich unausweichlich ist und daher eine Abwehrstrategie entwicklen, die damit zurechtkommt, dass die Angreifer bereits im System sind.

Ausgewählte Whitepaper

Mehr aus SharePoint herausholen

Microsoft SharePoint bietet Unternehmen zahlreiche Möglichkeiten, um Kollaboration und Datenmanagement zu verbessern. Allerdings stellt sich im Betrieb oft heraus, dass SharePoint wesentlich komplexer als erwartet und der administrative Aufwand größer als geplant ist. Mit der richtigen Administration lässt sich beides in den Griff kriegen.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen