Los investigadores de seguridad de enSilo han publicado el hallazgo de una nueva técnica para inyectar código malicioso prácticamente en todas las versiones del sistema Windows.
La técnica ha sido llamada AtomBombing debido a que explota las tablas atómicas del sistema operativo, que permiten que las aplicaciones puedan almacenar y acceder a los datos. También se pueden utilizar para compartir datos entre aplicaciones.
Los atacantes utilizan la inyección de código para agregar código malicioso en los procesos legítimos, por lo que es más fácil eludir los productos de seguridad, esconderse del usuario, y extraer información sensible que de otra manera sería inalcanzable.
La inyección de código es una técnica de manipulación mediante la cual opera un programa malicioso manipulando un programa legítimo. Un atacante podría convencer a un usuario para ejecutar un programa malicioso evil.exe pero un firewall a nivel aplicación instalado en el equipo bloquearía la comunicación de ese ejecutable. Para superar este problema, evil.exe tendría que encontrar una manera de manipular un programa legítimo, como un navegador web, de modo que el programa legítimo llevaría a cabo la comunicación en nombre de evil.exe.
Los investigadores de enSilo encontraron que un atacante puede escribir código malicioso en una tabla atómica, obligar a un programa legítimo para recuperar el código malicioso de la tabla y manipularlo para ejecutar ese código. El atacante podría utilizar la inyección de código para eludir restricciones a nivel de procesos y acceder a datos específicos, como tomar pantallazos, realizar ataques MitB (Hombre-En-El-Navegador) o acceder a contraseñas cifradas.
La técnica en sí es un mecanismo del diseño del sistema operativo, no es un fallo o defecto, por lo que no hay forma de corrección o parche ante la posibilidad de ser utilizada para eludir las soluciones de seguridad actuales que intentan prevenir una infección. La mitigación va más bien encaminada a que las soluciones de seguridad hagan el monitoreo de las llamadas API para detectar actividad maliciosa.
Los investigadores de enSilo han probado la técnica en contra de Windows 10.