Investigadores de seguridad han descubierto una nueva técnica que puede permitir a los atacantes la inyección de código malicioso en cada versión del sistema operativo Microsoft Windows, incluso Windows 10, ya que no existen herramientas antimalware que lo puedan detectar, afectando millones de computadoras en el mundo.

La técnica se llama “AtomBombing” y no explota ninguna vulnerabilidad, si no que abusa de los fallos de diseño de Windows.

El ataque AtomBombing abusa de las tablas Atom a nivel de sistema, una característica de Windows que permite a las aplicaciones almacenar información en cadenas objetos y otros tipos de datos para accederlos de manera regular.

Como estas tablas son compartidas, todo tipo de aplicaciones pueden acceder o modificar datos dentro de ellas. El blog de Microsoft contiene una explicación más detallada sobre las tablas Atom.

Un equipo de investigadores de la compañía EnSilo de ciberseguridad, a quienes se les ocurrió la técnica AtomBombing, dijeron que el fallo en el diseño de Windows no sólo puede permitir que código malicioso modifique las tablas atom sino que engañe a aplicaciones legitimas para ejecutar acciones maliciosas a su favor.

Una vez que se inyecta en un proceso legítimo, el malware facilita a los atacantes saltar mecanismos de seguridad que protegen a estos sistemas infecciones de malware, indicaron los investigadores.

Además de evadir las restricciones a nivel de procesos, la técnica de inyección de código AtomBombing también permite a los atacantes realizar ataques man-in-the-middle (MITM) en el navegador, realizar capturas de pantalla de forma remota del escritorio del usuario atacado e ingresar a las contraseñas cifradas que se almacenan en el navegador.

Google Chrome cifra las contraseñas almacenadas empleando Windows Data Protection API (DAPI), el cual emplea datos derivados del usuario actual para cifrar y descifrar datos e ingresar a las contraseñas.

Así que si el malware es inyectado en un proceso el cual está realmente corriendo en el contexto del usuario actual, es fácil ingresar a las contraseñas en texto plano.

Además, al inyectar código en un navegador web, los atacantes siempre podrán modificar el contenido mostrado al usuario.

“Por ejemplo, en el procesamiento de una transacción bancaria, al cliente siempre se le mostrará la información exacta del pago mediante pantallas de confirmación”, dijo Tal Liberman, jefe de investigadores de seguridad para enSilo.

“Sin embargo, un atacante modifica datos para que el banco reciba información falsa de la transacción a favor del atacante, es decir, un número de cuenta destino y un monto posible”.

¿Qué está mal- La compañía dijo que todas las versiones del sistema operativo Windows, incluyendo el más reciente Windows 10, están afectadas. ¿Y qué sigue estando mal- Que no hay una solución hasta el momento.

“Desafortunadamente este fallo no puede ser corregido ya que no es código roto o defectuoso, sino más bien está en cómo se diseñan estos mecanismos del sistema operativo”, indicó Liberman.

Debido a que la técnica AtomBombing explota funciones legitimas del sistema operativo para llevar a cabo el ataque, Microsoft no ha podido corregir el fallo sin un cambio en cómo funciona el sistema operativo. Esta no es una solución viable, así que no hay un parche.