AtomBombing: Sicherheits-GAU für Windows oder Effekthascherei?

Ich spüre das Verlangen, mich sofort für diese Überschrift zu entschuldigen, denn sie sieht wirklich aus, als stamme sie aus der ersten Unterrichtsstunde eines schlechten Clickbait-Seminars. Aber ich habe mir den Namen nicht ausgedacht, sondern das Sicherheitsunternehmen Ensilo. Sie beschreiben damit eine angebliche Schwachstelle in Windows, und auch die Beschreibung klingt wie aus einem dieser Kettenbriefe, die mit “Schlimmster Virus, der je entdeckt wurde” überschrieben sind.

Angeblich lässt sich damit eine in allen Windows-Versionen enthaltene Funktion angreifen. Und zwar unbemerkt von Antivirenprogrammen, weil sie gar nicht in der Lage seien, dies zu erkennen. Und wer an diesem Punkt seinen Computer noch nicht in Panik aus dem Fenster geworfen hat, für den legen die Entdecker nach, dass es für Microsoft unmöglich sei, diese Lücke zu patchen, weil es kein Fehler im Code sei, sondern diese Lücke “by Design” im System klafft.

“AtomBombing” haben die Leute von Ensilo den Angriff deshalb genannt, weil er auf der Funktion der Atom Tables in Windows beruht. Diese werden benutzt, um Daten von Applikationen zwischenzuspeichern. Eine Anwendung speichert einen Wert in einer solchen Tabelle und erhält im Gegenzug einen Schlüssel, das so genannte Atom. Mit diesem kann der hinterlegte Wert jederzeit wieder abgerufen werden, und zwar nicht nur von der Anwendung selbst, sondern von jedem anderen Programm, welche das Atom kennt.

In einem Blogpost schreibt Ensilo, dass es möglich sei, Schadcode in diesen Atom Tables zu platzieren, der dann dafür verwendet werden könne, legitime Programme zu unterlaufen. Ein Windows-Programm kann dadurch dazu gebracht werden, etwas zu tun, was eigentlich nicht seiner Funktion entspricht.

Es gibt auch eine ausführliche Dokumentation dazu, dort demonstriert der Entdecker der mutmaßlichen Schwachstelle, wie er den Browser Google Chrome erfolgreich manipuliert und dazu verleitet, andere Windows-Programme zu starten, in seinem Beispiel den Taschenrechner und oder den VLC-Player.

Grundsätzlich könne man mit einem solchen Angriff ein System übernehmen oder sensible Daten wie Kennwörter auslesen – und das wie gesagt unbemerkt von eventuell aktiven Schutzprogrammen.

So weit, so gut. Eine Reaktion von Microsoft gibt es dazu bislang noch nicht.
Wie hoch die Gefahr tatsächlich ist, vermag ich nicht einzuschätzen, allerdings lässt die Dokumentation für mich einige Fragen offen. Der “böse” Code, der die Daten in die Atom Table schreibt und ein anderes Programm dazu bringt, diesen auszulesen und auszuführen, muss ja irgendwie auf das System kommen. Es sieht für mich so aus, als sei ein erfolgreicher Angriff nur unter “Mithilfe” des Nutzers möglich. Er muss irgendwie dazu verleitet werden, den Prozess in Gang zu setzen. Und sobald die anzugreifende Anwendung erfolgreich kompromittiert wurde, braucht es einen weiteren Prozess, der den eigentlichen Schaden anrichtet, also beispielsweise die Kennwörter klaut und auf einen externen Server überträgt.

Ob sowohl der einleitende als auch der eigentlich schädliche Vorgang ebenfalls völlig unbemerkt von Antivirus-Programmen ablaufen können, ist nicht dokumentiert. Es fällt außerdem auf, dass in dem demonstrierten Szenario lediglich Prozesse aufgerufen wurden, die im Benutzerkontext laufen – es hat also zumindest den Anschein, als könnte man sich auf diesem Wege keine höheren Rechte erschleichen.

Für die angebliche Tragweite dieser Sicherheitslücke ist mir der Vortrag insgesamt zu dünn. Warum demonstriert man hier, wie der Taschenrechner gestartet wird, und nicht z.B. einen erfolgreichen Passwortklau? Und warum sind die Entdecker nicht, wie sonst üblich, zuerst auf Microsoft zugegangen, um sich im Falle der Anerkennung eine Prämie zu sichern? Für mich bleiben da vorerst zu viele Fragen, um in Panik zu geraten.