Исследователи из enSilo показали, как можно использовать таблицы атомов для внедрения вредоносного кода в процессы Windows и обхода защитных решений. Разработанная ими техника, получившая наименование AtomBombing, открывает возможность для атак «человек-в-браузере», получения паролей в открытом виде и снимков экрана из удаленной позиции.

«К сожалению, эту проблему не решить патчем, поскольку атака полагается не на битый код или ошибку программиста, а на функциональность, заложенную в этот механизм операционной системы», — пишет в блоге enSilo Таль Либерман (Tal Liberman), руководитель ИБ-исследований компании. Во избежание реальных атак эксперт рекомендует вести мониторинг вызовов API на предмет инъекции кода.

Согласно Либерману, таблицы атомов, которые обеспечивает операционная система, позволяют приложениям временно сохранять и использовать данные, а также обмениваться ими. «Мы обнаружили, что инициатор атаки может записать вредоносный код в таблицу атомов и тем самым заставить легитимную программу получить этот вредоносный код из таблицы, — пишет исследователь. — Мы также обнаружили, что легитимной программой, вобравшей вредоносный код, можно манипулировать с целью выполнения этого кода».

Необходимым условием вредоносной атаки является запуск кода пользователем, который тот может загрузить из веба или получить вложением в письмо. «Любой мало-мальски эффективный брандмауэр приложений, если он есть в наличии, заблокирует коммуникации вредоносного исполняемого кода», — отметил Либерман. Атака AtomBombing помогла исследователям решить эту задачу, так как коммуникации зловредного «экзешника» стала вместо него осуществлять легитимная программа.

«Многие защитные продукты оперируют белым списком доверенных процессов, — пишет далее Либерман. — Если атакующему удалось внедрить вредоносный код в один из доверенных процессов списка, он сможет без труда обойти этот защитный продукт».

AtomBombing также облегчает получение паролей, сохраненных в браузере, и модификацию контента посредством MitB-атаки. Инъекция кода в процесс, отвечающий за скриншоты и работающий в контексте пользователя, позволит атакующему делать снимки экрана, не запуская службу удаленного рабочего стола.

Возможность злоупотребления механизмами Windows для внедрения кода и ранее тревожила исследователей. Так, в апреле стало известно, что APT-группа Platinum зачастую использует легитимную Windows-функцию HotPatching для внедрения вредоносного кода в запущенные процессы без перезагрузки системы. Технология HotPatching была впервые реализована в Windows Server 2003 и упразднена с выходом Windows 8.

Категории: Аналитика, Хакеры