AtomBombing: Zero-Day-Lücke bedroht alle Windows-Versionen

Forscher des Sicherheitsanbieters Ensilo haben eine Zero-Day-Lücke in Windows entdeckt, die das Einschleusen und Ausführen von Schadcode erlaubt. Die von ihnen als „AtomBombing“ bezeichnete Angriffsmethode umgeht zudem die Sicherheitsmechanismen des Betriebssystems. Betroffen sind alle Versionen des Microsoft-Betriebssystems, darunter auch Windows 10.

„Unglücklicherweise kann der Fehler nicht gepatcht werden, da er nicht auf fehlerhaftem Code basiert, sondern vielmehr darauf, wie diese Mechanismen des Betriebssystems gestaltet wurden“, schreibt Tal Liberman, leitender Sicherheitsforscher bei Ensilo, in einem Blogeintrag.

Der Name AtomBombing leitet sich von der Windows-Funktion Atom Tables ab, die die Forscher benutzen, um das Betriebssystem zu kompromittieren. Atom Tables speichern Strings und die zugehörigen Identifiers des Betriebssystems, die wiederum Funktionen anderer Anwendungen unterstützen. Den Forschern ist es nach eigenen Angaben gelungen, Schadcode in Atom Tables einzufügen und legitime Programme dazu zu bringen, diesen Code abzurufen.

Sicherheitssoftware ist nicht in der Lage, diesen Code zu erkennen. Legitime Programme können jedoch dazu gebracht werden, schädliche Funktionen auszuführen.

Schadprogramme, die die AtomBombing-Technik nutzen, seien aber nicht nur in der Lage, Sicherheitsprodukte zu umgehen, sondern auch persönliche Daten auszuspähen und Screenshots anzufertigen. Auch der Zugriff auf verschlüsselte Passwörter sei möglich, da Google Chrome Passwörter mithilfe des Windows Data Protection API speichere. Schadcode, der in einen Prozess eines lokalen Nutzers eingeschleust werde, könne die Passwörter im Klartext auslesen, so die Forscher weiter.

„AtomBombing basiert auf legitimen Mechanismen und Funktionen des Betriebssystems, um schädliche Aktionen auszuführen und zu verbergen“, sagte Liberman im Gespräch mit ZDNet USA. „Die größte Gefahr ist, dass gut motivierte Angreifer immer wieder kreative Techniken wie diese finden werden. Da sie neu ist und bisher noch nicht als gefährlich eingestuft wurde, kann die Methode leicht jedes Sicherheitsprodukt umgehen, das schädliche Aktivitäten heuristisch blockiert. Wenn man davon ausgeht, dass eine Kompromittierung unausweichlich ist, sollten Organisationen eine Strategie in Betracht ziehen, die annimmt, dass die Angreifer bereits im System sind.“

HIGHLIGHT

Mehr Sicherheit im smarten Zuhause

Wie Sie Ihr persönliches Internet der Dinge vor versteckten Gefahren schützen

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

5 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

6 Tagen ago