Munscheidstr. 14 in 45886 Gelsenkirchen

Jetzt anrufen 0209 - 8830 6760

Zero Day Lücke AtomBombing betrifft alle Windows Versionen!

M.Sc. Chris Wojzechowski

Die Zero Day Lücke AtomBombing nutzt keinen Programmierfehler aus, sondern baut auf legitime Windows-Funktionen auf. Ein Patch muss deshalb Änderungen an den Funktionen des Betriebssystems vornehmen. Zusätzlich kommt hinzu, dass die Zero Day Lücke ausgenutzt werden kann, um Sicherheitslösungen zu umgehen.

Ensilo entdeckt die Zero Day Lücke Atombombing!

Den unrühmlichen Namen „AtomBombing“ erhält die Sicherheitslücke von Ensilo1, aufgrund der ausgenutzten Windows-Funktion Atom Tables. Die Atom Tables dienen als Ablage des Systems für Strings und Identifier von Anwendungen. Um Opfer der Lücke zu werden, müssen verteilte, präparierte Dateien ausgeführt werden. So kritisch wie die Lücke klingt, ist sie also nicht. Die Problematik an der Lücke ist jedoch, dass z.B. Antiviren Software die Attacke nicht erkennt.

Trägt das Opfer also seinen Teil dazu bei, führt präparierte Dateien aus, werden manipulierte Strings in die Atom Tables geschrieben, welche wiederum von den Anwendungen abgeholt werden. Eine Ausführung von Schadcode wird so möglich. Wie das ganze allerdings im Detail von statten geht, verrät Ensilo2 nicht.

Wie kritisch sieht Microsoft das AtomBombing und welche Lösung gibt es für die Zero Day Lücke?

Auf Anfragen von Heise3 hat sich Microsoft bisher nicht gemeldet. ZDnet hat mit Liberman von ZDNet USA4 gesprochen. Dieser betont die Kreativität von Hackern. Organisationen sollten außerdem eine Strategie in Betracht ziehen, die annimmt, dass die Angreifer bereits im System5 sind. Um die Attacke von Virenscannern erkennen zu lassen, müssen die Atom Tables stärker beobachtet werden.


Erkennen Sie zuverlässig Phishing E-Mails?

Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!


Meine Meinung zu der Zero Day Lücke AtomBombing!

Bei einer Zero Day Lücke gehen, in der Regel, immer die roten Leuchten an. Da diese Lücke jedoch das zutun des Opfers erfordert, schränkt sich der Nutzerraum stark ein. Zwar ist Ransomware auch ein großes Problem, von dem auch Krankenhäuser befallen worden sind. Aber häufig ist eine Nutzeraktivität erfordert. Eine Code Execution z.B. beim Besuch einer Website, wäre um einiges kritischer. Und auch die Mehrfachnutzung bei Passwörtern ist nach wie vor ein riesiges Problem. Ob und wann sich Microsoft zu der Lücke äußern wird – und wie die Lösung aussieht – darauf können wir gespannt sein. Bis dahin ist erhöhte Wachsamkeit angesagt!

Weitere Informationen und Quellen

[1] AtomBombing: Zero-Day-Lücke bedroht alle Windows-Versionen (zdnet)
[2] AtomBombing: Sicherheitsforscher missbrauchen Windows-Mechanismus für Code-Injection (heise)
[3] AtomBombing: A Code Injection that Bypasses Curent Security Solutions (blog.ensilo.com)


Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.


Foto des Autors

M.Sc. Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin einer von zwei Geschäftsführern der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.