Los investigadores de seguridad han descubierto una nueva técnica que podría permitir a un atacante inyectar código malicioso en todas las versiones del sistema operativo Windows de Microsoft, incluso Windows 10, de manera que no hay herramientas anti-malware que puedan detectar, amenazan a millones de ordenadores en todo el mundo.
Si dispone de un PC con Windows, que está totalmente parcheado, los atacantes todavía pueden hackear su ordenador.
Apodado «AtomBombing,» es la técnica que no hace explotar cualquier vulnerabilidad, sino una debilidad del diseño en Windows.
Nuevo ataque con inyección de código ayuda a evitar medidas de seguridad de malware
AtomBombing ataca las Atom Tables a nivel de sistema, una característica de Windows que permite a las aplicaciones almacenar información sobre cadenas, objetos y otros tipos de datos para el acceso de forma regular.
Puesto Atom, todo tipo de aplicaciones puede acceder o modificar datos dentro de esas tablas. Usted puede leer una explicación más detallada de las Tablas Atom en Microsoft’s blog .
Un equipo de investigadores de la empresa de seguridad cibernética enSilo, subió información de la técnica AtomBombing, diciendo que este defecto de diseño en Windows puede permitir que el código malicioso pueda modificar Atom Tables y aplicaciones legítimas en la ejecución de acciones maliciosas en su nombre.
Una vez que se inyecta en los procesos legítimos, el malware hace que sea más fácil para los atacantes el eludir los mecanismos de seguridad que protegen a estos sistemas de infecciones de malware, según los investigadores.
AtomBombing puede realizar un ataque al Browser MITM, descifrar contraseñas y más
Además de la restricción de nivel tipo bypass, la técnica de inyección de código AtomBombing también permite a los atacantes realizar man-in-the-middle (MITM) ataques al navegador, de forma remota realizar capturas de pantalla de los escritorios de usuario específicas, y acceder a las contraseñas cifradas almacenadas en un navegador.
Google Chrome codifica su contraseñas guardadas utilizando la API de protección de datos de Windows (DPAPI), que utiliza los datos derivados del usuario actual para cifrar o descifrar los datos y acceder a las contraseñas.
Por lo tanto, si el malware se inyecta en un proceso que ya se está ejecutando en el contexto del usuario actual, es fácil acceder a las contraseñas en texto plano.
Por otra parte, mediante la inyección de código en un navegador web, un atacante puede modificar el contenido que se muestra al usuario.
«Por ejemplo, en un proceso de transacción bancaria, al cliente siempre se le mostrará la información de pago exacta al cliente a través de pantallas de confirmación», escribió la firma. «Sin embargo, el atacante modifica los datos de modo que el banco recibe información falsa de transacción en favor del atacante, es decir, un número de cuenta de destino diferente y posiblemente, su cantidad».
Sin parche para el ataque de AtomBombing
¿Que es peor? La compañía dijo que todas las versiones del sistema operativo Windows, incluyendo Microsoft más reciente de Windows 10, se vieron afectados. Y lo que es peor? No hay una solución en este momento.
«Por desgracia, este problema no puede ser reparado, ya que no se basa en un código roto o defectuoso, si no de cómo se diseñan estos mecanismos sistema operativo», dijeron los investigadores.
Dado que la técnica AtomBombing se explota en el sistema operativo legítimo para llevar a cabo el ataque, Microsoft no puede parchear el problema sin cambiar el funcionamiento de todo el sistema operativo. Esto no es una solución viable, así que no hay noción de un parche.