AtomBombing : Windows attaquable par une technique d'injection de code

Le par  |  1 commentaire(s)
Hiroshima-frappe-atomique

Toutes les versions de Windows sont affectées par AtomBombing. Cette attaque par injection de code franchit toutes les barrières. Pas de correctif pour ce qui n'est pas une vulnérabilité.

AtomBombing est une technique d'injection de code baptisée ainsi par une équipe de chercheurs en sécurité de la société enSilo. Elle affecte toutes les versions de Windows et peut passer inaperçue auprès des solutions de sécurité usuelles.

bombeCe nom AtomBombing ne fait pas référence à un bombardement atomique mais au fait que la technique tire parti d'une fonction de Windows dénommée Atom Tables. Ces tables permettent aux applications de stocker des données, voire de les partager avec d'autres applications.

Ce qui est alors troublant est que AtomBombing n'exploite ainsi pas des vulnérabilités de sécurité de Windows mais une fonctionnalité native. Un simple patch ne peut alors pas être publié pour venir corriger le problème.

Avec AtomBombing, un malware peut écrire du code malveillant dans une table atom. Des processus légitimes peuvent récupérer ce code via des appels APC (Asynchronous Procedure Calls), comme avec un navigateur Web par exemple. Les solutions de sécurité ne détectent pas l'attaque et un programme légitime peut être manipulé afin d'exécuter ce code malveillant.

Décrite dans un billet de blog, AtomBombing est la première technique d'injection de code qui s'appuie sur les tables atom. À Dark Reading, Tal Liberman, un chercheur en sécurité chez enSilo, explique que le code n'est en fait pas injecté dans la table atom mais " pour un processus cible via l'utilisation des tables atom ". " Une fois que le code a été injecté dans un processus, les attaquants peuvent faire ce qu'ils veulent, comme si le code avait été chargé de manière légitime par le processus cible. "

Avec AtomBombing, enSilo évoque la possibilité pour des attaquants de prendre des captures d'écran, extraire des données sensibles ou encore accéder à des mots de passe chiffrés. À titre d'exemple, il est fait allusion à Google Chrome qui chiffre les mots de passe stockés en utilisant l'API Windows Data Protection. " Si le malware injecte du code dans un processus qui est déjà exécuté dans le contexte de l'utilisateur courant, les mots de passe en clair peuvent être obtenus facilement. "

À ZDNet, un porte-parole de Microsoft a réagi en déclarant que pour des techniques d'injection de code, un système doit avoir déjà été compromis avant qu'un malware ne puisse les exploiter.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1930492
Hm, ouais... Pas rassurant mais bon, si le système est déjà compromis, il "suffit" d'éviter la première contamination
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]