Des chercheurs d’Ensilo ont découvert un levier qui permet de contourner les mécanismes de sécurité installés sur Windows et d’injecter du code malicieux. Ils l'ont baptisé AtomBombing, nom qui fait référence au mécanisme sous-jacent de Windows qui est exploité. Les chercheurs préviennent que toutes les versions de Windows sont affectées, y compris Windows 10. « Malheureusement, ce problème ne peut pas être résolu étant donné qu’elle ne repose pas sur un code défectueux, mais plutôt sur la façon dont ces mécanismes du système d'exploitation sont conçus ». Pour rappel, Microsoft avait déjà présenté ledit mécanisme exploité en avançant « qu’une table d'atome est une table définie par le système qui stocke des chaînes et des identifiants correspondants. Une application place une chaîne dans une table d'atome et reçoit un entier de 16 bits, appelé un atome, qui peut être utilisé pour accéder à la chaîne. Une chaîne qui a été placé dans une table d'atome est appelé un nom d'atome ».
Selon les chercheurs, il est possible que des attaquants s’en servent pour injecter du code malveillant dans des processus légitimes, ce qui facilite le contournement des solutions anti-infiltration, l’extraction d’informations sensibles ou même l’accès à des mots de passe chiffrés, bien entendu à l’insu de l’utilisateur. Pour mettre en lumière ce dernier cas de figure, nous pouvons parler de Google Chrome qui chiffre les mots de passe stockés en utilisant l'API Protection des données Windows (DPAPI) ; si un logiciel malveillant est injecté dans un processus qui se déroule dans le contexte de l'utilisateur actuel, ces mots de passe peuvent être révélés en texte brut puisque l'API se sert des données actuelles de l'utilisateur pour chiffrer et déchiffrer des informations, ainsi que l'accès à ces mots de passe.
Dans l’optique de mieux illustrer leur propos, ils rappellent le contexte de l’injection de code : « par exemple, supposons qu’un pirate a été en mesure de convaincre un utilisateur d’exécuter le fichier evil.exe. Tout type de pare-feu décent installé sur l'ordinateur pourrait bloquer cet exécutable. Pour surmonter ce problème, evil.exe va devoir trouver un moyen de manipuler un programme légitime, comme un navigateur Web, de sorte que le programme légitime lance la communication au nom de evil.exe ». . .
Mais que se passe-t-il concrètement ? Après avoir rappelé que les tables d’atome peuvent également servir à partager des données entre les applications, ils affirment que « nous avons découvert qu’un pirate peut écrire du code malveillant sur dans une table d’atome et forcer un logiciel légitime à récupérer ledit code de la table. Nous avons également découvert que le logiciel légitime, qui contient désormais ce code malveillant, peut être contraint à l’exécuter ».
Les chercheurs précisent qu’AtomBombing est une technique qui se sert d’un mécanisme sous-jacent de Windows, il n’est donc pas question ici d’exploiter une quelconque faille ou un bogue. « Étant donné que le problème ne peut pas être résolu, il n’y a pas de notion de correctif pour un cas comme celui-ci. Aussi, la réponse d'atténuation directe réside dans les appels d'API et la surveillance d’activités malveillantes ».
Ils rappellent qu’il est important de ne pas oublier qu’AtomBombing n’est qu’une technique parmi d’autres qui peuvent être utilisées par des pirates : « les pirates vont continuer de se servir d’outils, nouveaux ou déjà éprouvés, pour s’assurer de contourner les technologies anti-infiltration (tels que AV, JAV, HIPS, etc.). ».
Tal Liberman, chercheur en sécurité en chef d'Ensilo, a déclaré « AtomBombing utilise des mécanismes et des fonctionnalités légitimes du système d'exploitation pour effectuer et cacher des activités malveillantes. La plus grande préoccupation est que, lorsque les attaquants sont motivés, ils vont toujours trouver des techniques créatives comme cellle-ci. Comme elle est nouvelle et n'a pas encore été marqué comme malveillante, cette méthode permettra de contourner facilement tout produit de sécurité qui tente de bloquer de façon heuristique les activités malveillantes. Reconnaissant que le compromis est inévitable, les organisations devraient envisager une stratégie de sécurité qui suppose que les attaquants sont déjà à l'intérieur ».
Source : blog Ensilo, blog Microsoft (table d'atomes)
