AtomBombing: Zero-Day-Luecke bedroht alle Windows-Versionen

28/10/2016 - 16:13 von Ingo Steinbuechel | Report spam
| Sie basiert allerdings nicht auf einem Codefehler, sondern auf
| legitimen Windows-Funktionen. Die Lücke kann deswegen nicht gepatcht
| werden. Zudem umgehen AtomBombing-Angriffe aktuelle
| Sicherheitsprodukte.
| [...]
| Sicherheitssoftware ist nicht in der Lage, diesen Code zu erkennen.

Quelle: http://www.zdnet.de/88281868/
 

Lesen sie die antworten

#1 Stefan Kanthak
28/10/2016 - 18:33 | Warnen spam
"Ingo Steinbuechel" schrieb:

| Sie basiert allerdings nicht auf einem Codefehler, sondern auf
| legitimen Windows-Funktionen. Die Lücke kann deswegen nicht gepatcht
| werden.



Welche Luecke?

0. Wenn ich ein unerwuenschtes Programm auf (m)einem System ausfuehre,
dann ist dieses bereits kompromittiert!
Genau das ist aber noetig, um diese Luecke^Wumstaendliche Methode,
Code auf doppelt indirektem Weg auszufuehren, zu nutzen.

1. Wenn (m)ein Programm Code in einem anderen Prozess zur Ausfuehrung
bringen kann (wofuer es Schreibzugriff auf diesen Prozess braucht),
dann ist es VOELLIG wurscht, ob dieser Code direkt oder indirekt im
Zielprozess landet.

JFTR: Schreibzugriff hat ein Prozesse nur auf andere Prozesse des
gleichen Benutzers, die mit denselben oder geringeren
Privilegien laufen.

2. Anstelle eines NUL-terminierten Strings aus der globalen Atom-
Tabelle kann der im ersten Schritt injizierte Code genausogut
einen NUL-terminierten String einer Umgebungsvariablen, der
Registry, der Kommandozeile, "shared memory" (z.B. dem von
OutputDebugString() benutzten Puffer), einer Pipe, einem MailSlot
etc. lesen.

3. Anstelle des umstaendlichen Verfahrens, 1. Code in einen anderen
Prozess zu injizieren, diesen zur Ausfuehrung zu bringen, damit
der 2. weiteren Code aus einem String laedt und auch diesen
ausfuehrt, kann ich den gesamten Code auch 0. direkt in (m)einem
Programm ausfuehren.

| Zudem umgehen AtomBombing-Angriffe aktuelle
| Sicherheitsprodukte.
| [...]
| Sicherheitssoftware ist nicht in der Lage, diesen Code zu erkennen.

Quelle: http://www.zdnet.de/88281868/



Also ist Dein Betreff falsch: korrekt muesste der
"Zero-Day-Luecke in Sicherheitssoftware bedroht die armen Irren, die
solche Placebos^WKroeten schlucken" lauten.-)
Dummerweise ist dies eine wohlbekannte Tatsache: sog. Sicherheitssoftware
ist zum Schutz PRINZIPIELL ungeeignet.

Stefan
[
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen §823
Abs. 1 sowie §1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Beschluss des OLG Bamberg vom 12.05.2005 (AZ: 1 U 143/04)


news://freenews.netfront.net/ - complaints:

Ähnliche fragen