31 oct 2016

AtomBombing: nueva técnica de inyección de código en Windows

Los ataques contra los usuarios de Internet y los sistemas operativos son cada vez más complejos. Ya sea por un despiste o por utilizar malas técnicas de programación, cada poco tiempo aparecen nuevas vulnerabilidades y fallos de seguridad que obligan a las desarrolladoras a actualizar sus aplicaciones. El problema llega cuando los fallos de seguridad que se descubren no tienen solución, igual que el nuevo fallo detectado por un grupo de expertos de seguridad y que afecta por igual a todas las versiones de Windows.

Los expertos de seguridad de EnSilo han detectado una nueva vulnerabilidad que afecta por igual a todas las versiones de Windows, y de la que no nos podemos proteger, que ellos han denominado como AtomBombing. Este fallo de seguridad ha recibido este nombre debido a que se explota a través de las Atom Tables y Async Procedure Calls (APC) del sistema operativo para facilitar el almacenamiento y el acceso a los datos entre aplicaciones.

De esta manera, los atacantes pueden crear un exploit muy sencillo que inyecte en estas tablas código malicioso de manera que, cuando una aplicación intente recuperar dicha información, estará cargando automáticamente el código malicioso en la memoria. De esta forma, un atacante podría llegar a tomar capturas de pantalla, acceder a las contraseñas de las víctimas e incluso llevar a cabo otro tipo de ataques BiTM (Browser in The Middle). Los investigadores han publicado el código de una PoC.

Para que esta vulnerabilidad se pueda explotar, el atacante debe hacer uso de diferentes técnicas de "ingeniería social" de manera de engañar al usuario para que este ejecute el binario malicioso que permita explotar el fallo de seguridad, algo que, por desgracia, no suele ser muy complicado.

Por el momento, no existe ninguna forma efectiva ni para protegerse de este fallo de seguridad ni para solucionarlo de forma definitiva. Según los expertos en seguridad, esta vulnerabilidad no es realmente una vulnerabilidad, porque se trata de un problema muy difícil de tratar.

Según los expertos de seguridad, la única forma de protegerse frente a este fallo es que las desarrolladoras de las principales suites de seguridad del mercado actualicen sus productos de manera que estos sean capaces de detectar las llamadas maliciosas a la API de las tablas atómicas que las permita evitar, antes de que sea demasiado tarde, la posible actividad maliciosa.

Para protegernos nosotros mismos, lo que debemos hacer es prestar atención a los archivos que descargamos y ejecutamos de manera que, cuando detectemos cualquier fichero que pueda ser sospechoso, evitemos ejecutarlo y, así, evitemos que los piratas informáticos puedan ejecutar malware en nuestro sistema.

Fuente: HelpNetSecurity

Suscríbete a nuestro Boletín

1 comentario:

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!