AtomBombing – Une vulnérabilité Windows difficile à corriger

2
136

La société de cyber-sécurité EnSilo alerte sur une nouvelle vulnérabilité de Windows, baptisée AtomBombing. Celle-ci permet d’injecter du code malveillant dans un processus Windows et ainsi d’échapper aux mesures de détection traditionnelles. Problème, la faille s’avère très complexe à corriger.

AtomBombing tire son nom des “Atom Tables“, une fonctionnalité de Windows. Cette vulnérabilité a été découverte par EnSilo et permet à un attaquant une exploitation aboutissant à une injection de code malveillant au sein d’un processus. A partir de là, tout est quasiment possible pour exploiter la faile à des fins malveillantes, et sans attirer l’attention de l’utilisateur de la machine visée. Le plus critique s’avère la possibilité d’attaque de type man-in-the-browser visant les navigateurs Web : cela permet d’intercepter et de déchiffrer les identifiants et mots qui transitent.

Le code d’injection faisant office de Proof of Concept (PoC) a été publié sur Github. Tal Liberman, le directeur d’équipe de recherche chez EnSilo étant à l’origine de la découverte de AtomBombing, explique sur son blog que la technique consiste à détourner les Atom Tables, l’un des mécanismes fondamentaux de Windows.

Problème, cette injection de code se révèle problématique à plusieurs niveaux :

  • Détection de l’exploit par un antivirus très difficile (le processus paraîtra légitime)
  • Patcher une fonctionnalité native de Windows est impossible, ce n’est pas un bug

Difficile donc pour Microsoft d’envisager un quelconque patch correctif, car résoudre ce problème exigerait de repenser en profondeur une fonctionnalité largement exploitée par Windows. Microsoft précise néanmoins que cette attaque est à relativiser car elle n’est envisageable que sur un système préalablement infecté par un attaquant. Impossible en effet d’exploiter cette vulnérabilité à distance, la victime doit exécuter du code malveillant, volontairement ou non. Microsoft invite donc ses utilisateurs à garder en tête les « bonnes pratiques en ligne » pour éviter d’avoir affaire à ce type d’infections particulièrement vicieuses.

Solution probable pour Microsoft : “introduire une couche d’abstraction qui permettrait d’isoler les threads les uns des autres“, comme le conseille Bobby Kuzma, ingénieur systèmes chez Core Security.

Pour le chercheur en sécurité ayant découvert le problème, la solution pour se protéger de ce vecteur d’attaque serait de surveiller les appels aux API à la recherche d’éventuelles activités malicieuses, en s’appuyant par exemple sur un système de prévention d’intrusion sur l’hôte (HIPS). Mais seuls les logiciels de sécurité les plus avancés en sont capable…

Les commentaires sont fermés.