string(14) "attribute >>>>" array(0) { }

Nuevo ataque de inyección de código en Windows

string(14) "attribute >>>>" array(5) { ["width"]=> int(600) ["height"]=> int(400) ["file"]=> string(31) "2016/10/Code-e1477769062703.jpg" ["sizes"]=> array(4) { ["thumbnail"]=> array(4) { ["file"]=> string(16) "Code-150x150.jpg" ["width"]=> int(150) ["height"]=> int(150) ["mime-type"]=> string(10) "image/jpeg" } ["medium"]=> array(4) { ["file"]=> string(16) "Code-300x200.jpg" ["width"]=> int(300) ["height"]=> int(200) ["mime-type"]=> string(10) "image/jpeg" } ["medium_large"]=> array(4) { ["file"]=> string(16) "Code-768x512.jpg" ["width"]=> int(768) ["height"]=> int(512) ["mime-type"]=> string(10) "image/jpeg" } ["large"]=> array(4) { ["file"]=> string(17) "Code-1024x683.jpg" ["width"]=> int(1024) ["height"]=> int(683) ["mime-type"]=> string(10) "image/jpeg" } } ["image_meta"]=> array(12) { ["aperture"]=> string(1) "5" ["credit"]=> string(0) "" ["camera"]=> string(21) "Canon EOS 5D Mark III" ["caption"]=> string(0) "" ["created_timestamp"]=> string(1) "0" ["copyright"]=> string(0) "" ["focal_length"]=> string(2) "41" ["iso"]=> string(4) "2000" ["shutter_speed"]=> string(17) "0.016666666666667" ["title"]=> string(0) "" ["orientation"]=> string(1) "0" ["keywords"]=> array(0) { } } } array(0) { }
news and informations automotive,business,crime,health,life,politics,science,technology,travelautomotive,business,crime,health,life,politics,science,technology,travel

Las tablas atom son usadas en los sistemas operativos Windows para compartir strings entre diferentes aplicaciones. Cuando una aplicación escribe un string en una de estas tablas, recibe un identificador de 16 bits que se denomina atom y que se puede utilizar para acceder al string por parte de la misma aplicación o de otra con la que vaya a compartir la información. Incluso el propio sistema operativo utiliza tablas atom, aunque en este caso no son accesibles directamente para las aplicaciones:

https://msdn.microsoft.com/en-us/library/windows/desktop/ms649053(v=vs.85).aspx

Hace dos días, investigadores de la empresa de ciberseguridad enSilo publicaron su descubrimiento de un nuevo tipo de ataque denominado AtomBombing que se basa en la inyección de código en estas tablas del sistema. Han sido capaces de escribir código malicioso en una tabla y de forzar a una aplicación a que lea ese código, dando lugar a posible escenarios de Man-in-the-browser, acceso a contraseñas en plano, tomar capturas de pantalla…

http://blog.ensilo.com/atombombing-a-code-injection-that-bypasses-current-security-solutions

En este caso no se está explotando una vulnerabilidad de Windows o aprovechando código incorrectamente escrito y que se pueda parchear con una actualización, sino abusando del modo en que está diseñada esta característica del sistema operativo, lo que hace más complicado encontrar una solución y expone al ataque cualquier versión de Windows que haga uso de ella.

code

¿Cómo podría utilizarse este descubrimiento? Es habitual que un atacante engañe a un usuario para que ejecute un archivo malicioso, la ingeniería social suele ser muy efectiva. Aunque el antivirus del usuario no detecte ese archivo como una amenaza, si dispone de un firewall correctamente configurado es probable que bloquee las comunicaciones con el exterior de ese archivo. Sin embargo, ahora el atacante podría encontrar la forma de inyectar código en una aplicación legítima, como por ejemplo un navegador web, utilizando una tabla atom. De esta forma, como el firewall confía en esa aplicación legítima, dejaría pasar su tráfico que habría sido convenientemente modificado por el atacante.

Por ahora no hay una solución sencilla para resolver este problema y la recomendación que nos dan desde enSilo es monitorizar las llamadas a las APIs para detectar cualquier comportamiento anómalo.

, ,