Специалисты компании enSilo обнаружили способ обхода защиты всех современных версий Windows. Он получил название «Атомная бомбардировка» и по эффективности использования не имеет равных. По словам хакеров, этот способ позволяет взламывать все современные механизмы защиты программного обеспечения.


dsc02341-e1466950187549

«Атомная бомбардировка» работает следующим образом: она модифицирует таблицы атомов, которые используются программами для хранения сведений об объектах, строках, а также идентификаторах доступа.

Вносить изменения в таблицы атомов могут любые приложения. Благодаря этому хакеры могут внедрить вредоносный код практически в любую программу и игру, причём антивирусные приложения не заметят никакой подозрительной активности. Особенно выгодным оказывается заражение программ из белого списка антивирусов — они проходят менее строгую проверку и могут выполнять на компьютере практически любые действия, оставаясь незамеченными.

«Атомная бомбардировка» позволяет выполнять браузерные атаки. В результате таких атак киберпреступники могут делать скриншоты веб-страниц, подменять контент на сайты и перехватывать пароли, хранящиеся как в открытом, так и в зашифрованном виде. «Атомная бомбардировка» может использоваться для угона учётных записей, в том числе от платёжных кабинетов.

Браузер Google Chrome шифрует пароли с помощью Windows Data Protection API, поэтому при внедрении «Атомной бомбардировки» в процесс текущего пользователя злоумышленники смогут перехватить пароли в виде незашифрованного текста, ведь этот API используется как для шифрования данных, так и для расшифровки.

Microsoft придётся создать патч, который закроет уязвимость, эксплуатируемую «Атомной бомбардировкой», но сделать это будет довольно сложно, ведь для этого нужно будет пересмотреть базовые механизмы защиты операционной системы. Сколько времени на это понадобится, неизвестно.

Ещё одна серьёзная уязвимость Windows, о которой стало известно на этой неделе, была раскрыта компанией Google. Инженеры Google подробно расписали возможности, которые эта уязвимость открывает хакерам, хотя и не привели конкретных примеров её использования.

Как пишет Google, эта уязвимость уже эксплуатируется хакерами. Она внедряется через системный файл win32k.sys и позволяет запускать файл любого приложения не в «песочнице», а в любом сегменте памяти. Примечательно, что собственный браузер Google блокирует этот файл, поэтому его пользователя эта уязвимость не страшна. Тем не менее, она может атаковать пользователей других браузеров, а также внедряться на компьютер через баг в плеере Adobe Flash.

Специалисты Google сообщили об этой уязвимости своим коллегам из Microsoft двадцать первого октября и обнародовали информацию о ней спустя десять дней. Microsoft это не понравилось: по данным VentureBeat, компания заявила, что публикация этих данных ставит под вопрос безопасность пользователей. С 2013 года в Google действует политика безопасности, согласно которой информация об уязвимостях в продуктах сторонних разработчиков может быть раскрыта в блоге Google по истечению семи дней после того, как она будет доведена до этих разработчиков.

Конечно, в случае с Windows следовало бы сделать исключение, ведь очевидно, что Microsoft не хватило бы столь короткого срока на устранение найденной уязвимости. В Google об этом скорее всего не подумали. Ни одна компания в мире не успела бы за неделю переделать сложнейший продукт, установленный на сотни миллионов компьютеров по всему миру, и предоставить пользователям заплатки, которые закрыли бы уязвимость, найденную Google. Можно ожидать, что теперь Microsoft поторопится и в спешном порядке выпустит патч безопасности.

Система Orphus