Actualités

Plus grave encore, non seulement toutes les versions de Windows sont vulnérables à ce type d'attaque, y compris Windows 10, mais en plus, celles-ci ne peuvent même pas être corrigées, car le mécanisme identifié est considéré comme un défaut de conception. Les chercheurs en sécurité de Microsoft recommandent aux entreprises de considérer que leur sécurité pourrait déjà être compromise, et conseillent aux utilisateurs d'adopter les bonnes pratiques du Web et d'éviter de cliquer sur des URL suspectes ou de télécharger des fichiers inconnus.

Bien que l'attaque doive être déployée sur chaque ordinateur au sein des entreprises, le fait qu'elle puisse contourner les solutions de sécurité traditionnelles en fait un outil particulièrement attrayant pour les cybercriminels. Si l’on considère que les APT (Advanced Persistent Threats) n’ont besoin de compromettre la sécurité que d’une seule cible au sein d'une entreprise, cette méthode de déploiement furtif d’outils d'exfiltration de données fait d’AtomBombing un nouveau vecteur d’attaque fortement susceptible d’être utilisé en conditions réelles par les cybercriminels.

Comme les niveaux de détection des outils de sécurité traditionnels des endpoints sont contournés par cette technique, seule une approche permettant de se placer en dehors du périmètre du système d’exploitation, telle que l'introspection basée sur l’hyperviseur, peut permettre de neutraliser les exploits d’AtomBombing au niveau de la mémoire raw.

Description du défaut de conception

Les Atom Tables Windows sont responsables du stockage de chaînes de caractères et de leurs identifiants correspondants, de sorte que les applications ne peuvent échanger des informations entre elles que par l’intermédiaire de ce qui est appelé un atome - un nombre entier de 16 octets qui identifie spécifiquement une chaîne de caractères dans la table. Les applications reposent généralement sur ces Atom Tables pour partager des informations beaucoup plus rapidement entre elles, plutôt que d'interroger des chaînes de caractères longues.

En exploitant ce défaut de conception, un attaquant pourrait utiliser des applications légitimes, telles que des navigateurs Web ou des lecteurs multimédias, pour dérober des mots de passe, prendre des captures d'écran du Bureau et les uploader sur un serveur contrôlé par un attaquant. Parce que cette technique peut être utilisée comme vecteur d'attaque initial pour réussir à infiltrer secrètement une entreprise, elle peut offrir aux cybercriminels des possibilités d’attaques allant du déploiement de malwares à l'espionnage industriel. Voici la description des trois étapes principales pour qu’une exploitation de cette faille, soit réussie :

- La première étape consiste à écrire les données arbitraires ou le code malveillant dans le même espace d’adressage que celui du processus ou de l'application ciblée. Cela signifie que toutes les applications, même celles sur liste blanche et implicitement fiables pour les éditeurs de sécurité ou le service informatique d'une entreprise, peuvent être ciblées.

- La deuxième étape de l'attaque consiste à détourner le thread d'une application légitime et à lui faire exécuter le code injecté - ou la chaîne de caractères - stocké dans l’Atom Table. C'est la partie où l'application légitime peut être détournée pour exécuter n'importe quel code sans être détectée par une solution de sécurité traditionnelle.

- La troisième et dernière étape de la chaîne d'attaque pour l’AtomBombing implique la suppression du code malveillant et le retour à la normale du comportement de l'application ciblée, de manière à ne pas éveiller les soupçons. De cette façon, un attaquant peut utiliser une application légitime, comme un navigateur Web populaire ou toute application connectée à Internet, pour transférer les données de l'entreprise sans déclencher d’alertes.

 Détecter AtomBombing grâce à l’introspection de la mémoire depuis l’hyperviseur

Parce que Bitdefender Hypervisor Introspection (HVI) est une solution qui peut analyser la mémoire raw des VM depuis l'hyperviseur, sans avoir besoin de déployer d'agents au sein même des VM, elle peut détecter ce type de falsifications de la mémoire et les bloquer avant qu’elles ne causent des dommages aux entreprises.

Lors du Proof Of Concept, l’AtomBombing a bien été détecté par Bitdefender HVI, qui a pu bloquer l'exploit en temps réel depuis le niveau de l’hyperviseur, en neutralisant l'attaque et en empêchant le code malveillant d'être injecté et exécuté. Cela signifie que des attaques dissimulées telles que celle-ci, seront détectées par HVI, empêchant ainsi la sécurité des entreprises d'être compromise.

Contrairement aux mécanismes de sécurité traditionnels, HVI exploite l'API Citrix XenServer pour analyser la mémoire raw à l'extérieur de la machine virtuelle, afin de détecter toutes technique d’altération de la mémoire- y compris celles utilisées par AtomBombing - qui pourraient en modifier le comportement ou celui des applications au sein de la VM.

Avec des menaces toujours plus sophistiquées, ciblées, persistentes et complexes, Bitdefender Hypervisor Introspection propose une approche plus approfondie de la sécurité pour protéger les actifs critiques virtualisés d'une entreprise.

Cette technologie est disponible dès maintenant en version Tech Preview.

En savoir plus sur Bitdefender HVI ici.

À propos de Bitdefender®

Bitdefender est une société internationale de technologies de sécurité qui fournit ses solutions dans plus de 100 pays à travers un réseau d'alliances à valeur ajoutée, de distributeurs et de partenaires revendeurs. Depuis 2001, Bitdefender n’a cessé de développer des technologies de protection maintes fois récompensées et est devenu le plus innovant des fournisseurs de technologies de sécurité pour les environnements virtualisés et Cloud. Grâce à ses investissements en R&D et de nombreux partenariats technologiques, Bitdefender a réhaussé les standards de sécurité les plus élevés de l’industrie en s’appuyant à la fois sur ses technologies classées N°1 et ses alliances stratégiques avec les principaux fournisseurs de technologies de virtualisation et de Cloud dans le monde.

Depuis 2001, Bitdefender confie, pour la France et les pays francophones, l’édition et la commercialisation de ses solutions à la société Profil Technology. Plus d’informations sur www.bitdefender.fr

À propos de Profil Technology®

Profil Technology est une société française indépendante qui développe, édite et commercialise des logiciels pour les particuliers et les entreprises. Créée en 1989, sous le nom d’Editions Profil puis renommée Profil Technology en 2014, elle édite des solutions de sécurité informatique sous ses marques Egedian et Witigo et ré-édite depuis 2001, les solutions antivirus Bitdefender. Pour plus d’informations, visitez le site profiltechnology.com