Forscher entwickeln eine Methode, mit der sie bei jeder Windows-Version alle Sicherheitsmechanismen überwinden können. Auch die besten Virenwächter bemerken davon nichts und Microsft kann nichts dagegen unternehmen.

Normalerweise nutzen Hacker Sicherheitslücken in Windows aus, um Schadcode in das Betriebssystem einzuschleusen. Sind solche Schwachstellen bekannt, kann sie Microsoft schließen. Oft sind auch gute Virenwächter in der Lage, die Angreifer aufgrund ihres verdächtigen Vorgehens zu identifizieren und zu stoppen. Das alles funktioniert beim sogenannten "AtomBombing" nicht, das Sicherheitsforscher der US-Firma enSilo entwickelt haben. Sie nutzen für eine "Code Injection" nämlich ganz legale Wege, die Windows Anwendungen zur Verfügung stellt, damit diese dort Code ablegen können. Diese Funktion heißt "Atom Tables", wovon sich der Name der Methode ableitet.

Den Forschern ist es gelungen, in einen Atom Table Schadcode zu schreiben und ein installiertes Programm dazu zu bringen, diesen abzurufen und sozusagen in seinem Auftrag Aufgaben zu erledigen. Wie genau sie dabei vorgegangen sind, erklärt enSilo-Teamchef Tal Liberman auf "Breaking Malware".

Ist der Code eingeschmuggelt, seien Angreifer beispielsweise in der Lage, unbemerkt Schutz-Software zu umgehen, Informationen zu stehlen, Screenshots zu erstellen oder sogar auf verschlüsselte Passwörter zuzugreifen, schreibt "ZDNet". Letzteres sei möglich, weil Googles Chrome-Browser gespeicherte Passwörter mit Hilfe der Windows Data Protection API (DPAPI) verschlüsselt. Das bedeutet, dass manipulierte Programme, die ein Nutzer gestartet hat, diese Passwörter auslesen können.

Microsoft rät zur Vorsicht

"Unglücklicherweise kann dieses Problem nicht mit einem Patch beseitigt werden, da es nicht auf fehlerhaftem Code basiert, sondern darauf, wie diese System-Mechanismen designt wurden", heißt es im enSilo-Blogeintrag. Bekannte AtomBombing-Techniken könnten Antivirus-Programme verhindern, nicht aber neu entwickelte. Motivierte Hacker würden immer kreative Angriffsmethoden finden, gegen die Microsoft und Viren-Wächter machtlos seien, sagte enSilo-Team-Chef Tal Liberman "ZDNet".

Wahrscheinlich sind Hacker auch für einen erfolgreichen AtomBombing-Angriff auf die ungewollte Mithilfe ihrer Opfer angewiesen. Microsoft rät daher in einer Stellungnahme Kunden, sich online vorsichtig zu verhalten. Sie sollten immer misstrauisch sein, bevor sie auf Links klicken, unbekannte Dateien öffnen oder Datenübertragungen akzeptieren. Ein System müsse bereits kompromittiert sein, bevor Malware Code-Injection-Techniken nutzen könne, sagt ein Unternehmenssprecher.