
Un nouveau type d'attaque utilisant un mécanisme Windows légitime plutôt que des vulnérabilités dans le code, a été découvert par des chercheurs en sécurité. Ce code malveillant peut potentiellement être utilisé pour mener à bien des attaques par injection de code, qui passeraient complètement inaperçues des logiciels de sécurité traditionnels.
Plus grave encore, non seulement toutes les versions Windows sont vulnérables à ce type d'attaque, y compris Windows 10, mais en plus celles-ci ne peuvent même pas être corrigées car le mécanisme identifié est considéré comme un défaut de conception. Les chercheurs en sécurité de Microsoft recommandent aux entreprises de considérer que leur sécurité pourrait déjà être compromise, et conseillent aux utilisateurs d'adopter les bonnes pratiques du Web et d'éviter de cliquer sur des URL suspectes ou de télécharger des fichiers inconnus.
Bien que l'attaque doive être déployée sur chaque ordinateur au sein des entreprises, le fait qu'elle puisse contourner les solutions de sécurité traditionnelles en fait un outil particulièrement attrayant pour les cybercriminels. Si l’on considère que les APT n’ont besoin de compromettre la sécurité que d’une seule cible au sein d'une entreprise, cette méthode de déploiement furtif d’outils d'exfiltration de données fait d’AtomBombing un nouveau vecteur d’attaque fortement susceptible d’être utilisé en conditions réelles.
Comme les niveaux de détection traditionnels des outils de sécurité des endpoints sont contournés par cette technique, seule une approche permettant de se placer en dehors du périmètre du système d’exploitation, telle que l'introspection basée sur l’hyperviseur peut permettre de neutraliser les exploits d’AtomBombing au niveau de la mémoire raw.
Qu'est-ce que cela signifie pour les entreprises ?
Les coûts liés à la cybercriminalité auxquels doivent faire face les entreprises ne cessent d’augmenter et atteindraient les 6 trillions de dollars en 2021 (5,5 trillions d’euros). Par conséquent, l'exfiltration des données et les APT (Advanced Persistent Threats) ciblant les données, la propriété intellectuelle ou même les actifs financiers d'une entreprise demeurent donc des préoccupations majeures.
Les APT visant des données confidentielles et les malwares de cyber-espionnage ciblant les institutions gouvernementales, les télécommunications, les services d’e-crime et les entreprises aérospatiales sont devenus une réalité, les cybercriminels recourant de plus en plus à des attaques ciblées plutôt qu’opportunistes.
Les attaques ciblées, telles que le vol de 81 millions de dollars à la Bangladesh Bank ou la violation de 500 millions de comptes utilisateurs de Yahoo, ne sont que quelques-uns des incidents qui ont fait les gros titres cette année. Le facteur inquiétant, demeure que si le temps moyen de détection d'une violation de données ou d’une APT est de 201 jours, la vulnérabilité qui a été exploitée lors de l’attaque de Yahoo n'a pas été détectée pendant 2 ans, ce qui ne manque pas de soulever des inquiétudes quant au nombre d'entreprises potentiellement infiltrées par des cybercriminels sans qu’aucune alarme ne soit déclenchée.
Description du défaut de conception
Les Atom Tables Windows sont responsables du stockage de chaînes de caractères et de leurs identifiants correspondants, de sorte que les applications ne peuvent échanger des informations entre elles que par l’intermédiaire de ce qui est appelé un atome - un nombre entier de 16 octets qui identifie uniquement une chaîne de caractères dans la table. Les applications reposent généralement sur ces Atom Tables pour partager des informations beaucoup plus rapidement entre elles, plutôt que d'interroger des chaînes de caractères longues.
Par exemple, en exploitant ce défaut de conception, un attaquant pourrait utiliser des applications légitimes, tels que les navigateurs Web ou les lecteurs multimédias, pour dérober des mots de passe, prendre des captures d'écran du Bureau et les uploader sur un serveur contrôlé par un attaquant ou même télécharger des composants malveillants supplémentaires sur le système cible afin de permettre une prise de contrôle complète de celui-ci. Parce que cette technique peut être utilisée comme vecteur d'attaque initial pour réussir à infiltrer secrètement une entreprise, elle peut offrir aux cybercriminels des possibilités d’attaques allant du déploiement de malwares à l'espionnage industriel. L'attaque AtomBombing implique l'écriture d’un code malveillant qui peut être extrait de l’Atom Table et exécuté par des applications légitimes. Voici la description des trois étapes principales pour qu’une exploitation de cette faille soit réussie :
La première étape consiste à écrire les données arbitraires ou le code malveillant dans le même espace d’adressage que le processus ou l'application ciblée. Cela signifie que toutes les applications, même celles sur liste blanche et implicitement fiables pour les éditeurs de sécurité ou le service informatique d'une entreprise, peuvent être ciblées.
La deuxième étape de l'attaque consiste à détourner le thread d'une application légitime et à lui faire exécuter le code injecté - ou la chaîne de caractères - stocké dans l’Atom Table. C'est la partie où l'application légitime peut être détournée pour exécuter n'importe quel code sans être détectée par une solution de sécurité traditionnelle.
La dernière étape de la chaîne d'attaque pour AtomBombing implique la suppression du code malveillant et le retour à la normale du comportement de l'application ciblée, de manière à ne pas éveiller les soupçons. De cette façon, un attaquant peut utiliser une application légitime, comme un navigateur Web populaire ou toute application connectée à Internet, pour transférer les données de l'entreprise sans déclencher d’alertes.
Détecter AtomBombing grâce à l’introspection de la mémoire depuis l’hyperviseur
Parce que Bitdefender Hypervisor Introspection (HVI) est une solution qui peut analyser la mémoire raw des VM depuis l'hyperviseur, sans avoir besoin de déployer d'agents au sein-même des VM, elle peut détecter ce type de falsifications de la mémoire et les bloquer avant qu’elles ne causent des dommages aux entreprises.
Lors du Proof Of Concept, AtomBombing a bien été détecté par Bitdefender Hypervisor Introspection, qui a pu bloquer l'exploit en temps réel depuis le niveau de l’hyperviseur, en neutralisant l'attaque et en empêchant le code malveillant d'être injecté et exécuté. Cela signifie que des attaques dissimulées telles que celle-ci, seront détectées par HVI, empêchant ainsi la sécurité des entreprises d'être compromises.
Contrairement aux mécanismes de sécurité traditionnels, HVI exploite l'API Citrix XenServer pour analyser la mémoire raw à l'extérieur de la machine virtuelle afin de détecter toutes technique d’altération de la mémoire - y compris celles utilisées par AtomBombing - qui pourraient en modifier le comportement ou celui des applications au sein de la VM.
Avec des menaces toujours plus sophistiquées, ciblées, persistentes et complexes, Bitdefender Hypervisor Introspection propose une approche plus approfondie de la sécurité pour protéger les actifs critiques virtualisés d'une entreprise.
Source: Bitdefender