AtomBombing: mehr Marketing als Gefahr

AtomBombing – Der Angriff klingt schlimmer, als er ist
Kommentare

Sicherheitsforscher von Ensilo haben einen neuen Angriff auf Windows vorgestellt: AtomBombing. Schon der Titel der Beschreibung klingt schlimm: „AtomBombing: A Code Injection that Bypasses Current Security Solutions“. Aber worum geht es überhaupt?

Beim neuen Angriff geht es um das Einschleusen von Code. Das ist natürlich etwas, was Angreifer äußerst gerne machen, können sie doch nur so die Kontrolle über einen Rechner übernehmen. Allerdings hat das Ganze einen Haken: Es setzt voraus, dass bereits bösartiger Code auf dem Rechner läuft. Der kann über AtomBombing dann Code in andere Prozesse einschleusen und so Schutzmaßnahmen unterlaufen.

Was kann AtomBombing?

Als Beispiel nennen die Forscher das Programm evil.exe, das der Benutzer gestartet hat. Eine Application-Level-Firewall auf dem Rechner würde jeden Versuch von evil.exe, mit dem Server der Angreifer zu kommunizieren, unterbinden – sofern der Angreifer keine Möglichkeit findet, diese auf dem gleichen Rechner wie sein Code laufende Firewall zu unterlaufen, was eigentlich schon länger Standard ist.

Mit AtomBombing kann der Angreifer von evil.exe aus z. B. Code in den Webbrowser einschleusen, über den dann die Verbindung zum Server aufgebaut wird. Da der Webbrowser Verbindungen aufbauen darf, wird der Versuch nicht von der Firewall gestoppt.

Es gibt noch mehrere andere Möglichkeiten, über den per AtomBombing eingeschleusten Code Schaden anzurichten. So könnte Schadcode in vertrauenswürdige Prozesse eingeschleust werden, um Schutzmaßnahmen zu umgehen. Oder in den Webbrowser eingeschleuster Schadcode könnte einen „Man in the Browser“-Angriff durchführen. Oder der in einen Passwortmanager eingeschleuste Schadcode könnte Zugangsdaten ausspähen, die auf der Platte nur verschlüsselt vorliegen.

Was kann AtomBombing NICHT?

Das, was die Cyberkriminellen am dringendsten brauchen, sind Möglichkeiten, aus der Ferne Code auf einem Rechner einzuschleusen. Und genau dazu eignet sich AtomBombing nicht. Es kann erst eingesetzt werden, wenn bereits Schadcode auf einem Rechner läuft.

Ebenfalls beliebt sind Möglichkeiten zur Privilegieneskalation, also zum Ausführen von Code mit Administrator- oder SYSTEM-Rechten, obwohl der laufende Schadcode nur die eingeschränkten Rechte eines normalen Benutzers besitzt. Da Windows den Zugriff auf die Prozesse anderer Benutzer unterbindet, ist über AtomBombing sehr wahrscheinlich keine Privilegieneskalation möglich. Wäre sie möglich, hätten die Forscher das sicher bereits berichtet.

Wie funktioniert AtomBombing?

AtomBombing nutzt die Atom Table von Windows, in der das System Strings und Identifier von Anwendungen speichert. Beim AtomBombing wird Schadcode als String in die Atom Table geschrieben und die angegriffene Anwendung danach dazu gebracht, diesen String zu laden und auszuführen. Dabei wird mal wieder auf Return Oriented Programming gesetzt, eine altbekannte Technik zum Einschleusen von Schadcode.

Was ist also neu am AtomBombing?

  1. Es nutzt eine bisher unbekannte Methode zum Einschleusen von Schadcode.
  2. Diese bisher unbekannte Methode wird von Schutzfunktionen und -programmen nicht erkannt.
  3. Es werden reguläre Windows-Funktionen missbraucht, es gibt also keine Schwachstelle, die Microsoft beheben kann.

1. ist natürlich unschön, aber keine Katastrophe, es gibt ja schon andere Möglichkeiten zum Einschleusen von Code in andere Prozesse. Wenn Schadcode erst mal auf einem Rechner läuft, kann er darauf jede Menge unschöne Dinge machen. Auf eine mehr oder weniger kommt es dann auch nicht mehr an.

Kommen wir zu 2. – WOW, welche Entdeckung: Ein bisher unbekannter Angriff wird nicht erkannt. Na, das ist natürlich eine Katastrophe. Wenn man an die Unfehlbarkeit von Schutzprogrammen glaubt. Was man wirklich nicht tun sollte. OK, die erkennen den Angriff nicht. Noch nicht. Mit dem nächsten Update dürfte sich das ändern.

Bleibt 3. Da kann ich nur sagen: Na und? Schon dass man Code ausführen kann, ist eine Funktion, die von den Cyberkriminellen immer wieder ausgenutzt wird. Und das schon seit DOS-Zeiten! Und was für ein Skandal: Microsoft hat das immer noch nicht geändert! Hat das eigentlich schon mal irgendwer gefordert?

Vermutlich nicht, schließlich wird die gleiche Funktion noch viel öfter von legitimen Programmen genutzt. Was Microsoft gemacht hat, ist erst mal das Einschleusen von Code über Schwachstellen wie Pufferüberläufe etc. zu erschweren. Und inzwischen wird es auch immer schwieriger, versehentlich ein bösartiges Programm zu starten.

Dass man das weiterhin absichtlich tun kann, ist ein zu akzeptierendes Restrisiko. Es sei denn, sie möchten einen Rechner haben, auf dem Microsoft entscheidet, was läuft und was nicht und nicht sie.

Aber um auf AtomBombing und den Missbrauch der Atom Tables zurückzukommen: Ich bin sicher, Microsoft wird auch dagegen passende Schutzmaßnahmen entwickeln. Wenn es nötig ist, denn die Beschreibung des Angriffs klingt für mich so, als ob es da doch die eine oder andere Sicherheitslücke gibt, die man schließen könnte, um den Angriff zu erschweren. Mitigations gegen ROP gibt es schließlich schon einige.

Mehr Marketing als Gefahr

Fazit: Es gibt mal wieder eine Schwachstelle mit einem reißerischen Namen und einem schönen Logo, aber das ist alles mehr Marketing als eine wirkliche Gefahr.

Die wäre AtomBombing nur, wenn man darüber von außen Schadcode einschleusen könnte. Aber so? Wenn der Schadcode erst mal auf dem Rechner läuft hat man sowieso verloren. AtomBombing hin oder her.

API Summit 2017

Web APIs mit moderner Web-Technologie konsumieren

mit Rainer Stropek (software architects)

API First mit Swagger & Co.

mit Thilo Frotscher (Freiberufler)

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -