Une véritable bombe atomique pour l’intégrité de Windows. Une équipe de chercheurs de la société de sécurité israélienne Ensilo déclare avoir trouvé un moyen qui permet à un code malveillant de contourner toutes les barrières de sécurité possibles et inimaginables de l’OS de Microsoft. Et quelle que soit sa version. En l’occurrence, les experts ont effectué leurs travaux sur Windows 10.
La technique, qu’ils ont dénommée « AtomBombing » exploite les « Atom Tables ». Inhérentes au système d’exploitation, ces tables permettent aux applications de stocker les données et y accéder. Elles peuvent aussi être utilisées pour organiser le partage des informations entre les applications. « Nous avons découvert qu’un attaquant pouvait écrire du code malveillant dans une table atom et forcer un programme légitime à récupérer ce code depuis la table, explique le responsable de l’équipe de recherche Tal Liberman. Nous avons également constaté que le programme légitime, maintenant infecté du code malveillant, peut être manipulé pour exécuter ce code. » De plus amples détails sur la technique d’intrusion sont présentés sur cette page.
Ce n’est évidemment pas le premier cas connu de technique d’injection de code pour pénétrer le système et affaiblir son intégrité. Mais ces techniques s’appuient généralement sur des vulnérabilités de l’OS et la manipulation de son utilisateur amené, sans en avoir conscience, à déclencher l’exécution d’un code malveillant à travers un programme, comme un navigateur par exemple, pour contourner les barrières de sécurité.
Mais rien de tout cela dans le cas présent. « AtomBombing est exécuté simplement en utilisant les mécanismes sous-jacents à Windows. Il n’est pas nécessaire d’exploiter les bugs ou les vulnérabilités du système d’exploitation, assure le chercheur. Comme la question ne peut être résolue, il n’y a pas de notion de correctif. Ainsi, la réponse pour atténuer [le risque] serait de plonger dans les appels des API et de surveiller les activités malveillantes. » Autrement dit, pas de correctif possible mais du monitoring système en temps réel en quelque sorte (comme en propose au passage Ensilo). L’autre solution serait que Microsoft modifie l’architecture de Windows. Ce qui n’est pas prévu dans l’immédiat.
Ensilo reste discret – et c’est bien normal – sur la méthode pour injecter le code. A notre sens, l’exécution d’un tel script nécessite soit la complicité involontaire de son utilisateur (ce qui n’est pas nécessairement le plus compliqué), soit l’accès direct à une machine non protégée. En cas de succès, l’AtomBombing fait alors tomber toutes les barrières de protection selon les niveaux de restriction, peut accéder à des données spécifiques, y compris les mots de passe chiffrés, ou encore s’installer dans le navigateur pour en suivre toutes les opérations. Explosif !
Lire également
Des trous de sécurité dans les antivirus
Furtim, un malware paranoïaque de la sécurité
En savoir plus sur https://www.silicon.fr/tag/ensilo#zaMqZVZ3ePS0HuJs.99
Linux + Windows = un nouveau cauchemar sécuritaire ?
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.