Новый способ атаки, который работает в любой версии Windows, продемонстрировали специалисты enSilo и описали методику в блоге компании. Она получила название «Атомная бомбардировка» и позволяет обходить практически все современные механизмы защиты программного обеспечения.
КАК РАБОТАЕТ «АТОМНАЯ БОМБАРДИРОВКА»
Новый метод атаки затрагивает таблицы атомов, которые приложения для Windows используют для хранения данных об объектах, строках, а также идентификаторах доступа. Практически все приложения для Windows могут вносить изменения в таблицы атомов.
Windows позволяет внедрять в таблицы атомов любой код, в том числе и вредоносный
Используя эту особенность операционной системы, хакеры могут внедрять вирусный код в легитимные процессы, и он останется незаметным для механизмов защиты. Особенно выгодно задействовать процессы из «белого» (разрешенного) списка каждого приложения.
Технология «Атомной бомбардировки» также позволяет выполнять браузерные атаки. В результате злоумышленники могут получить снимки экрана, подменить контент (к примеру, номер счета и сумму при выполнении банковского платежа) и пароли, которые хранятся в браузере в зашифрованном виде.
Однако, к примеру, Google Chrome шифрует пароли с помощью Windows Data Protection API (DPAPI). Если вредоносное ПО внедрить в процесс текущего пользователя, оно сможет увидеть пароли в виде простого текста – API использует данные пользователя и для шифрования, и для расшифровки.
ОПАСНЕЕ, ЧЕМ КАЖЕТСЯ
Обычно после обнаружения подобных уязвимостей разработчики ОС выпускают патчи, которые закрывают «дыры». Однако в этом случае ситуация гораздо сложнее. Чтобы исключить возможность «Атомной бомбардировки», Microsoft придется пересмотреть базовые механизмы операционной системы. В короткие сроки исправить это не получится.
КАК РАБОТАЕТ «АТОМНАЯ БОМБАРДИРОВКА»
Новый метод атаки затрагивает таблицы атомов, которые приложения для Windows используют для хранения данных об объектах, строках, а также идентификаторах доступа. Практически все приложения для Windows могут вносить изменения в таблицы атомов.
Windows позволяет внедрять в таблицы атомов любой код, в том числе и вредоносный
Используя эту особенность операционной системы, хакеры могут внедрять вирусный код в легитимные процессы, и он останется незаметным для механизмов защиты. Особенно выгодно задействовать процессы из «белого» (разрешенного) списка каждого приложения.
Технология «Атомной бомбардировки» также позволяет выполнять браузерные атаки. В результате злоумышленники могут получить снимки экрана, подменить контент (к примеру, номер счета и сумму при выполнении банковского платежа) и пароли, которые хранятся в браузере в зашифрованном виде.
Однако, к примеру, Google Chrome шифрует пароли с помощью Windows Data Protection API (DPAPI). Если вредоносное ПО внедрить в процесс текущего пользователя, оно сможет увидеть пароли в виде простого текста – API использует данные пользователя и для шифрования, и для расшифровки.
ОПАСНЕЕ, ЧЕМ КАЖЕТСЯ
Обычно после обнаружения подобных уязвимостей разработчики ОС выпускают патчи, которые закрывают «дыры». Однако в этом случае ситуация гораздо сложнее. Чтобы исключить возможность «Атомной бомбардировки», Microsoft придется пересмотреть базовые механизмы операционной системы. В короткие сроки исправить это не получится.