Angreifer sollen Windows-Systemen unbemerkt von Anti-Viren-Anwendungen Schad-Code unterjubeln können. Einfallstor dafür soll eine legitime Windows-Funktion sein.

Sicherheitsforscher von Ensilo warnen, dass alle Windows-Systeme eine Schwachstelle aufweisen, über die Angreifer Schad-Code einschleusen und ausführen können. Viren-Wächter sollen in so einem Fall nicht anspringen. Zudem lasse sich das Einfallstor nicht ohne weiteres schließen, schließlich handelt es sich dabei um die hauseigene Windows-Funktion Atom Tables.

Das Ganze klingt erst mal desaströs, die spärliche Beschreibung des Angriffsszenarios legt aber nahe, dass Opfer eine von Angreifern verteilte präparierte Datei ausführen müssen. Ein Übergriff ist also offensichtlich nicht ohne Zutun eines Opfers möglich.

Ausgangspunkt Atom Tables

Damit die Code-Injection klappt, muss ein Angreifer zuallererst Schad-Code in die Atom Tables von Windows schieben, erläutern die Sicherheitsforscher. Dabei handelt es sich um Ablagen des Systems für Strings und Identifier von Anwendungen. Dann soll es möglich sein, eine legitime Anwendung dazu zu bringen den verseuchten String abzuholen, um anschließend den Schad-Code auszuführen. Wie das im Detail vonstatten gehen soll, erläutert Ensilo nicht.

Ist ein Übergriff erfolgreich, könne ein Angreifer etwa Nutzer-Daten wie Passwörter abziehen oder Bildschirmfotos machen. Je nachdem, in welche Anwendung der Schad-Code geschoben wurde.

Was sagt Microsoft dazu?

Ensilo hält die Schwachstelle für „unpatchbar“, da es sich um einen grundlegenden Windows-Mechanismus handelt. Ein Übergriff beruht nicht auf einer Sicherheitslücke nebst Exploit. Sie vermuten, dass man als Lösung die Atom Tables eventuell tiefgehend überwachen könnte.

Wie Microsoft die Schwachstelle einstuft, ist bisher nicht bekannt. Die Antwort auf eine Anfrage von heise Security steht noch aus.

Quelle: https://heise.de/-3379196