No es raro que una versión de Windows pueda ser hackeada por informáticos, lo que si puede llegar a ser poco común es encontrar un código que pueda ser usado para hackear Windows, en todas sus versiones.
Los investigadores de seguridad han descubierto una nueva técnica que podría permitir a los atacantes inyectar código malicioso en cada versión del sistema operativo Windows de Microsoft, incluso Windows 10, de una manera que ninguna herramienta anti-malware existente pueda detectar, amenazando a millones de PCs en todo el mundo.
Esta técnica ha sido nombrada como «AtomBombing«, no explota ninguna vulnerabilidad, pero abusa de una debilidad de diseño en Windows.
Ataque de inyección de código en Windows
El ataque AtomBombing abusa de las tablas Atom a nivel de sistema, una característica de Windows que permite a las aplicaciones almacenar información sobre cadenas, objetos y otros tipos de datos para acceder de forma rapida.
Como las tablas Atom son compartidas, todo tipo de aplicaciones pueden acceder o modificar datos dentro de esas tablas. En el propio blog de Microsoft puedes encontrar mas información de esto.
Un equipo de investigadores de la empresa de seguridad cibernética EnSilo, fueron quienes presentaron la técnica de AtomBombing, esta falla de diseño en Windows puede permitir que el código malicioso modifique tablas de Atomy engañe a las aplicaciones seguras para ejecutar acciones maliciosas en lugar de estas.
Una vez inyectado en procesos legítimos, el malware facilita a los atacantes eludir los mecanismos de seguridad que protegen a estos sistemas de infecciones de malware, comentaron los investigadores.
AtomBombing puede realizar ataques del navegador MITM, descifrar contraseñas y más
Además de las restricciones de nivel de proceso, la técnica de inyección de código AtomBombing [código fuente aquí] también permite a los atacantes realizar ataques al navegador de tipo man-in-the-middle (MITM), tomar capturas de pantalla remotamente de los escritorios de usuarios objetivo y acceder a contraseñas cifradas almacenadas en un navegador.
Google Chrome cifra las contraseñas guardadas utilizando la API de protección de datos de Windows (DPAPI), que utiliza datos derivados del usuario actual para cifrar o descifrar los datos y acceder a las contraseñas.
Por lo tanto, si el malware se inyecta en un proceso que ya se está ejecutando en el contexto del usuario actual, es fácil acceder a las contraseñas en texto plano.
Además, al inyectar código en un navegador web, los atacantes pueden modificar el contenido mostrado al usuario.
«Por ejemplo, en un proceso de transacciones bancarias, siempre se mostrará al cliente la información de pago exacta como lo deseó el cliente a través de pantallas de confirmación», dijo Tal Liberman, líder del equipo de investigación de seguridad de enSilo.
«Sin embargo, el atacante modifica los datos para que el banco reciba información de transacción falsa a favor del atacante, es decir, un número de cuenta de destino diferente y posiblemente la cantidad».
No hay parches para AtomBombing Attack
¿Puede llegar a ser peor? Claro que si! La compañía dijo que todas las versiones del sistema operativo Windows, incluyendo la más reciente Windows 10, se vieron afectadas. Y lo que es aún peor? No hay solución de momento.
«Desafortunadamente, este problema no puede ser solucionado ya que no se basa en código roto o defectuoso, sino en cómo se diseñan estos mecanismos del sistema operativo», dijo Liberman.
Dado que la técnica AtomBombing explota las funciones legítimas del sistema operativo para llevar a cabo el ataque, Microsoft no puede solucionar el problema sin cambiar la forma en que funciona todo el sistema operativo. Esta no es una solución factible, por lo que no hay noción de un parche.