![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2013\/03\/winb.jpg\")
In allen Windows-Versionen klafft eine Zero-Day-Sicherheitsl\u00fccke, die f\u00fcr Angriffe ausgenutzt werden kann, und ohne dass eine Sicherheitssoftware das erkennt. Die AtomBombing genannte Sicherheitsl\u00fccke ist k\u00fcrzlich beschrieben worden.<\/p>\n
<\/p>\n
Leute, ihr m\u00fcsste jetzt sehr stark sein, wenn ihr mit Windows unterwegs seit. Gut, ich wei\u00df: Windows 10-Nutzer sind eh keine Weicheier, aber es trifft auch \u00e4ltere Windows-Versionen \u2013 egal ob voll gepatcht oder nicht, mit Virenscanner ausgestattet oder nicht. <\/p>\n
Die Sicherheitsl\u00fccke wird in diesem Blog<\/a> erstmals beschrieben und erm\u00f6glicht die \"Code-Injection\", ohne dass Sicherheitsfunktionen unter Windows das erkennen bzw. verhindern k\u00f6nnen. Wie die Sicherheitsforscher schreiben, wird sich der Zero-Day-Exploit wohl auch nicht patchen lassen, da es eine Windows-eigene Funktion Atom Tables betrifft. <\/p>\n Diese Atom Tables sind im System definiert und werden verwendet, um Zeichenketten (Strings) samt den zugeh\u00f6rigen IDs f\u00fcr Anwendungen zu speichern. Der Mechanismus ist in diesem MSDN-Artikel<\/a> beschrieben. Gelingt es nun, Schadcode in Atom Tables zu schieben (Code Injection), kann das System \u00fcbernommen werden. Man muss wohl eine modifizierte Anwendung ausf\u00fchren, die den injizierten Code aus den Atom Tables liest und dann ausf\u00fchren kann. So sollen sich etwa Nutzerdaten, Kennw\u00f6rter abfischen sowie Screenshots anfertigen lassen. <\/p>\n Bei ZDNet.com schreibt man in diesem deutschen Beitrag<\/a>, dass der Zugriff auch auf verschl\u00fcsselte Passw\u00f6rter m\u00f6glich sei. Grund: Google<\/a> Chrome schreibt Kennw\u00f6rter per Windows Data Protection API auf die Festplatte. Dadurch kann Schadcode, der im Kontext eines Benutzerkontos l\u00e4uft, diese Kennw\u00f6rter im Klartext auslesen.<\/p>\n Der Original-Blog-Beitrag<\/a> ist zwar recht umfangreich. Das genaue Angriffsszenario, und wie man Code in die Atom Tables injiziert, ist nicht beschrieben (siehe auch diesen heise.de-Beitrag<\/a>). Das einzig Gute: Man braucht wohl eine Anwendung, die die Atom Tables mit Schadcode f\u00fcllt und dann ggf. eine zweite Anwendung, die den injizierten Code ausliest. Einfach mal eine Webseite ansurfen und schon infiziert sein, reicht wohl (noch) nicht. Der Autor des Blog-Beitrags schreibt aber, dass Microsoft diese Sicherheitsl\u00fccke niemals patchen kann. Einzige Langfrist-L\u00f6sung: Die API-Calls auf Aktionen, die auf Malware hindeuten, \u00fcberwachen. W\u00e4re einmal ein Feld, wo sich Sicherheitsl\u00f6sungen austoben k\u00f6nnten (\"jetzt neu, mit AtomBombing-Schutz\"), und ggf. auch KI-Techniken zum Einsatz kommen. Eine Stellungnahme von Microsoft steht noch aus. Wir werden sehen, was da noch zuk\u00fcnftig ans Tageslicht kommt. <\/p>\n","protected":false},"excerpt":{"rendered":" In allen Windows-Versionen klafft eine Zero-Day-Sicherheitsl\u00fccke, die f\u00fcr Angriffe ausgenutzt werden kann, und ohne dass eine Sicherheitssoftware das erkennt. Die AtomBombing genannte Sicherheitsl\u00fccke ist k\u00fcrzlich beschrieben worden.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[5568,5567,4325],"class_list":["post-183175","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-atom-tables","tag-sicherheitsluecke-sicherheit","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/183175","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=183175"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/183175\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=183175"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=183175"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=183175"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}