AtomBombing est une technique d'injection de code baptisée ainsi par une équipe de chercheurs en sécurité de la société enSilo. Elle affecte toutes les versions de Windows et peut passer inaperçue auprès des solutions de sécurité usuelles.
Ce qui est alors troublant est que AtomBombing n'exploite ainsi pas des vulnérabilités de sécurité de Windows mais une fonctionnalité native. Un simple patch ne peut alors pas être publié pour venir corriger le problème.
Avec AtomBombing, un malware peut écrire du code malveillant dans une table atom. Des processus légitimes peuvent récupérer ce code via des appels APC (Asynchronous Procedure Calls), comme avec un navigateur Web par exemple. Les solutions de sécurité ne détectent pas l'attaque et un programme légitime peut être manipulé afin d'exécuter ce code malveillant.
Décrite dans un billet de blog, AtomBombing est la première technique d'injection de code qui s'appuie sur les tables atom. À Dark Reading, Tal Liberman, un chercheur en sécurité chez enSilo, explique que le code n'est en fait pas injecté dans la table atom mais " pour un processus cible via l'utilisation des tables atom ". " Une fois que le code a été injecté dans un processus, les attaquants peuvent faire ce qu'ils veulent, comme si le code avait été chargé de manière légitime par le processus cible. "
Avec AtomBombing, enSilo évoque la possibilité pour des attaquants de prendre des captures d'écran, extraire des données sensibles ou encore accéder à des mots de passe chiffrés. À titre d'exemple, il est fait allusion à Google Chrome qui chiffre les mots de passe stockés en utilisant l'API Windows Data Protection. " Si le malware injecte du code dans un processus qui est déjà exécuté dans le contexte de l'utilisateur courant, les mots de passe en clair peuvent être obtenus facilement. "
À ZDNet, un porte-parole de Microsoft a réagi en déclarant que pour des techniques d'injection de code, un système doit avoir déjà été compromis avant qu'un malware ne puisse les exploiter.
