Die Zero Day Lücke AtomBombing nutzt keinen Programmierfehler aus, sondern baut auf legitime Windows-Funktionen auf. Ein Patch muss deshalb Änderungen an den Funktionen des Betriebssystems vornehmen. Zusätzlich kommt hinzu, dass die Zero Day Lücke ausgenutzt werden kann, um Sicherheitslösungen zu umgehen.
Ensilo entdeckt die Zero Day Lücke Atombombing!
Den unrühmlichen Namen “AtomBombing” erhält die Sicherheitslücke von Ensilo1, aufgrund der ausgenutzten Windows-Funktion Atom Tables. Die Atom Tables dienen als Ablage des Systems für Strings und Identifier von Anwendungen. Um Opfer der Lücke zu werden, müssen verteilte, präparierte Dateien ausgeführt werden. So kritisch wie die Lücke klingt, ist sie also nicht. Die Problematik an der Lücke ist jedoch, dass z.B. Antiviren Software die Attacke nicht erkennt.
Trägt das Opfer also seinen Teil dazu bei, führt präparierte Dateien aus, werden manipulierte Strings in die Atom Tables geschrieben, welche wiederum von den Anwendungen abgeholt werden. Eine Ausführung von Schadcode wird so möglich. Wie das ganze allerdings im Detail von statten geht, verrät Ensilo2 nicht.
Wie kritisch sieht Microsoft das AtomBombing und welche Lösung gibt es für die Zero Day Lücke?
Auf Anfragen von Heise3 hat sich Microsoft bisher nicht gemeldet. ZDnet hat mit Liberman von ZDNet USA4 gesprochen. Dieser betont die Kreativität von Hackern. Organisationen sollten außerdem eine Strategie in Betracht ziehen, die annimmt, dass die Angreifer bereits im System5 sind. Um die Attacke von Virenscannern erkennen zu lassen, müssen die Atom Tables stärker beobachtet werden.
Meine Meinung zu der Zero Day Lücke AtomBombing!
Bei einer Zero Day Lücke gehen, in der Regel, immer die roten Leuchten an. Da diese Lücke jedoch das zutun des Opfers erfordert, schränkt sich der Nutzerraum stark ein. Zwar ist Ransomware auch ein großes Problem, von dem auch Krankenhäuser befallen worden sind. Aber häufig ist eine Nutzeraktivität erfordert. Eine Code Execution z.B. beim Besuch einer Website, wäre um einiges kritischer. Und auch die Mehrfachnutzung bei Passwörtern ist nach wie vor ein riesiges Problem. Ob und wann sich Microsoft zu der Lücke äußern wird – und wie die Lösung aussieht – darauf können wir gespannt sein. Bis dahin ist erhöhte Wachsamkeit angesagt!
Weitere Informationen und Quellen
[1] AtomBombing: Zero-Day-Lücke bedroht alle Windows-Versionen (zdnet)
[2] AtomBombing: Sicherheitsforscher missbrauchen Windows-Mechanismus für Code-Injection (heise)
[3] AtomBombing: A Code Injection that Bypasses Curent Security Solutions (blog.ensilo.com)