AtomBombing: Sicherheitslücke bedroht alle Windows-Versionen

IT-Security-Experten von enSilo haben eine Zero-Day-Lücke in Windows entdeckt, die Cyberkriminellen das Einschleusen und Ausführen von Schadcode erlaubt. Betroffen sind demnach alle bisher veröffentlichten Windows-Versionen, da die Sicherheitslücke nicht etwa auf einem Codefehler, sondern auf legitimen Funktionen des Microsoft-Betriebssystems basiert und nicht gepatcht werden kann.

Die Fachleute bezeichnen die neue Angriffsmethode als «AtomBombing», da sie zudem die Sicherheitsmechanismen von Windows umgeht. AtomBombing als Name leitet sich von der Windows-Funktion «Atom Tables» ab, welche die Forscher um Tal Liberman benutzt haben, um das Betriebssystem zu knacken. Atom Tables speichern Strings und die zugehörigen Identifiers von Windows ab, die wiederum Funktionen anderer Anwendungen unterstützen.

Wie enSilo in seinem firmeneigenen Blog schreibt, konnte der Schadcode in Atom Tables über die Sicherheitslücke eingefügt werden. In der Folge war es möglich, legitime Programme dazu zu bringen, diesen Code abzurufen. Das massive Problem für Microsoft: Selbst entsprechende Sicherheits-Software erkennt den Code nicht, wobei hingegen legitime Programme dazu gebracht werden können, die auf dem Schadcode basierenden Funktionen auszuführen.

Liberman warnt eindringlich davor, dass Hacker über die AtomBombing-Methode nicht nur Sicherheitsprodukte umgehen, sondern auch persönliche Daten ausspähen und Screenshots anfertigen können. Selbst verschlüsselte Passwörter seien vor dem Zugriff Dritter nicht mehr sicher, da Google Chrome Passwörter mithilfe der Windows-Data-Protection-Programmierschnittstelle speichere. Es sei über den Schadcode, der in einen Prozess eines lokalen Nutzers eingeschleust wurde, ein Leichtes, die Passwörter im Klartext auszulesen.

(pressetext.com)

Noch äussert sich enSilo zu wenig konkret darüber, wie sich Angreifer die Lücke zunutze machen könnten. Ausserdem ist im Bericht die Rede von einer sogenannten «Zero-Day-Lücke», also einer Lücke, welche die Security-Forscher erstmals über eigene Testszenarien ausgemacht haben. Auch aus dem Grund will enSilo nicht mehr Details zu Angriffsszenarien von sich geben. Zu denkbaren Malware-Szenarien zählen sicher die üblichen Verdächtigen wie bösartige Browsererweiterungen oder Mailattachments mit Script-Anweisungen. Microsoft hat sich auf Anfrage von uns noch nicht dazu geäussert. So bedarf es sicher allgemeiner Schutzmassnahmen, die man auch sonst an den Tag legen würde. Halten Sie trotzdem Ihr Betriebssystem und Ihre Virenwächter immer auf dem neusten Stand und fragen Sie sich jedes Mal beim Öffnen unbekannter Dateien im Web oder Mailpostfach, ob deren Herkunft wirklich vertrauenswürdig ist. Oder anders ausgedrückt: Man muss wie bis anhin auf der Hut sein und den gesunden Menschenverstand einschalten. Einen Grund zur Panik gibt es noch nicht.