Panikmache "AtomBombing": Unbedachte Warnung vor Zero-Day-Lücke

Forscher des Sicherheitsanbieters Ensilo wollen eine neue Angriffsmethode entdeckt haben, mit der sie die Sicherheitsmechanismen von Windows umgehen, Schadcode einschleusen und ausführen können. AtomBombing nennen sie ihre Methode, frei nach den ... mehr... Explosion, Atombombe, Nuklearwaffen Bildquelle: Public Domain Explosion, Atombombe, Nuklearwaffen Explosion, Atombombe, Nuklearwaffen Public Domain

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
erstmal in die Medien bringen und dann warten bis sich jemand Meldet und sagt, "hey wir bieten euch die Millionen" <- klingt sehr Seriös!!!

Ich bin dafür dass man die "Sicherheitsanbieter bei Ensilo" gleich mal "wegen Drohung" wegsperrt (oder was auch immer)!
=> denn auf die Straße gehen und jemanden sagen "ich bring dich um" ist nämlich auch illegal (und kann auch Freiheitsstrafe geben <- zumindest eine psychologische Untersuchung kommt einem zu teil)!
 
@baeri: Wo siehst du bitte eine Drohung oder eine Geldforderung, sonst alles klar bei dir?... Ich bin dafür dich wegen Verleumdung wegzusperren, statt die Leute, die helfen unsere PC-Systeme sicherer machen.
 
@theBlizz: "(oder was auch immer)" - wohl eher Rufschädigung oder wie von dir angesprochen vielleicht auch Verleumdung. Auf jeden Fall ist das so nicht in Ordnung von dem Sicherheitsanbieter.
 
@baeri: was geht denn mit dir ab?? Niemand hat irgendwem gedroht. Das einzige, was der Sicherheitschef möglicherweise versäumt hat, ist Microsoft oder andere betroffene Firmen vorab zu informieren - dazu ist er aber nicht per Gesetz verpflichtet. Gedroht hat er den Firmen oder gar Individuen nicht; er sagte lediglich, dass dies allem Anschein nach eine gefährliche Sicherheitslücke sei oder sein könnte und demonstrierte wohl auch wie man diese ausnutzt. Diese Tat kann man natürlich so oder so sehen; allerdings ist das keine Drohung, sondern eine - zugegeben nicht optimale - Dokumentation der Tatsachen.
 
Ensilo wollte wohl nur mal in die Schlagzeilen, scheint mir nicht gerade seriös zu sein.
 
Ich hab die ultimative Sicherheitslücke entdeckt. Man muss mich nur mal kurz mit (Super)-Adminrechten an den Rechner lassen, das ist alles. Ist auch nicht patchbar und betrifft jedes Betriebssystem...
 
@James8349: Hast du überhaupt verstanden um was es geht?
"Attackers use code injection to add malicious code into legitimate processes, making it easier to bypass security products, hide from the user, and extract sensitive information that would otherwise be unattainable."
Mal abgesehen dass das keine Root Rechte braucht kann ich damit z.B. jede Application Firewall oder allgemein Prozess-Whitelist umgehen, was mir sehr viel Arbeit ersparen kann, eine Privilege Escalation und anschließendes Ausschalten jeder Schutzsoftware dürfte etwas komplizierter sein. Die anderen Code Injection Möglichkeiten werden aber von Heuristiken inzwischen meistens erkannt, die nicht, ergo großes Problem für die Schlangenölbranche.
 
@theBlizz: Nene, da steht das es keine plausible Antwort gibt wie der Schadcode in die Atom Tables kommt. Ergo braucht man physischen Zugriff auf den Rechner oder jemand mit genügend Rechten muss ein Programm ausführen das den Code in die Atom Tables schreibt und dann muss ein anderes Programm den entsprechenden String aus dem Atom Table auch rausholen.
 
@James8349: Aber ich brauche ja keine hohen Rechte, es reicht mir ein Benutzerprozess wie der Internet Browser und schon bin ich in der Whitelist der Firewall. Die Firewall auszuschalten wäre deutlich aufwendiger. Natürlich muss das Programm davor erstmal ausgeführt werden aber das ist bei den Meisten ja kein allzu großes Problem. Geschrieben wird der Code mit GlobalAddAtom und anschließend wird das andere Programm mit APC überredet diesen auszulesen, beschreibt er doch alles.
 
@theBlizz: Und wie willst du dann aus dem Benutzerrahmen ausbrechen um an die wirklich "brisanten" Dinge zu kommen? Ein Browser darf schon aufs Internet zugreifen joa, aber wenn du nix hast was du ausspähen und senden kannst, nutzt dir das auch nich viel. Da musst schon einen Prozess mit System- oder Adminrechten erwischen.

Obendrein gehts auch nur bei Anwendungen mit einem Alertable Thread. Und wenn ein VLC, Skype oder MsPaint plötzlich versucht Zugriff auf Systemfunktionen zu nehmen die sonst nichts damit zu tun haben, dann dürfte das der "Schlangenölbranche" schon auffallen.

Schlussendlich meinte ich damit aber: Bei allem wo das Opfer selbst tätig werden muss ist die Schwachstelle der Mensch. Und diese Schwachstelle betrifft jedes Betriebssystem, ganz egal wie sicher es sonst sein mag. Patchen lässt sich das nicht.

Und übrigens funktioniert Schlangenöl nicht. Wenn du also sagst das viele andere Code Injection Attacken von Sicherheitssoftware durch ihre Heuristik erkannt werden, dann kanns kein Schlangenöl sein.
 
Wieder mal jemand der alten Kaffee aufwärmt um in die Medien zu kommen:

http://mista.nu/research/smashing_the_atom.pdf

das ist dann schon 4 Jahre alt....
 
@Eagle02: Habs nur überflogen aber wo gehts da um die Code Injection, da scheints ja um 3 längst gefixte Bugs zu gehen?
https://breakingmalware.com/injection-techniques/atombombing-brand-new-code-injection-for-windows/
Die selbe Attacke wird da jedenfalls nicht beschrieben.
 
Natürlich muss der Hacker den Zugang erst über eine "verseuchte E-Mail" bekommen, dann aber kann er sein Vorgehen vollkommen tarnen, er ist sozusagen Phantom-Administrator, völlig unauffindbar von Spürprogrammen. Ich weiss nun nicht genau, ob dies so ohne weiteres auch mit üblichen Virendateien möglich ist, die ja von Kaspersky und Co gefunden werden können. Aber ganz bestimmt gibt es noch andere Formen der Fremdkontrolle, die von Anti-Programmen nicht gefunden werden können. So oder so: Man kann sich heutzutage noch so abgesichert wähnen - ein falscher Klick und man kann den Computer neu aufsetzen, egal was vorher war.
 
@JWHafner: Das Wort Backup ist dir aber geläufig ? *g
 
Also "Panikmache" hin oder her. Ein Sicherheitsproblem, welches auf der Design-Ebene zu finden ist, kommt meines erachtens fast einem GAU gleich.
 
CPU Treiber patchen oder so geht nicht?
 
Schon lustig, wenn irgendwer solch eine beunruhigende Sicherheitslücke bei Windows entdeckt ist es Panikmache, wenn das allerdings bei Android passiert ist das für die Meisten hier natürlich in Stein gemeißelt und es wird gebasht ohne Ende.
Es scheint wohl Fakt zu sein das diese Sicherheitslücke existiert. Wie schwer es ist sie tatsächlich zu nutzen lässt sich an Hand dieser Meldung anscheinend nicht wirklich abschätzen, aber eine Sicherheitslücke die nicht gepatcht wird oder gepatcht werden kann ist ein Sicherheitslücke die beunruhigend ist, egal auf welchem System.
 
@BigTHK: ob Windows oder Android spielt bei Sicherheitslücken tatsächlich keine Rolle. Allerdings wird bei Windows stehts das gleiche (wenn auch modifizierte) Quell-Windows von den Herstellern genutzt und aufgesetzt. Bei Android entwickeln die Hersteller eigene ISOs was zu einem Problem führt: die Versionen sind teils so stark abgewandelt, dass die Hersteller (und möglicherweise auch die Netzbetreiber) einen Patch erst absegnen müssen - was Wochen oder Monate dauern kann.

Gebasht wird hier nicht abhängig vom System, sondern von der Tageszeit und dem Wochentag. Und bei Sicherheitslücken gehört auch gebasht (unter anderem) - wobei das hier eher noch unpräzise ist aber sei es drum.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen