Được mệnh danh là “AtomBombing”, kỹ thuật này không khai thác bất kỳ lỗ hổng nào như thường thấy, mà nó lợi dụng một điểm yếu trong thiết kế của hệ điều hành Windows.
Kỹ thuật tấn công AtomBombing lợi dụng Atom Tables, một tính năng cấp hệ thống của Windows. Tính năng này là một bảng cho phép các ứng dụng lưu lại thông tin trên các chuỗi (string), các đối tượng (object) và các loại dữ liệu khác để truy cập vào một cách thường xuyên.
Khi một ứng dụng đặt một chuỗi vào bảng này, nó sẽ nhận lại được một số nguyên 16-bit, được gọi là atom, dùng để truy cập vào chuỗi đó. Hệ điều hành Windows cung cấp một số bảng các atom đó và mỗi bảng lại phục vụ cho một số mục đích khác nhau khi chia sẻ giữa các ứng dụng. Và khi Atom chia sẻ các bảng này, tất cả mọi loại ứng dụng có thể truy cập hoặc chỉnh sửa dữ liệu bên trong các bảng đó.
Một nhóm các nhà nghiên cứu từ công ty an ninh mạng EnSilo, những người đã đưa ra kỹ thuật AtomBombing này, cho biết: lỗi thiết kế này trong Windows có thể cho phép các mã độc hại chỉnh sửa được các bảng atom này và đánh lừa các ứng dụng hợp lệ để chúng thực thi các hành vi độc hai thay cho kẻ tấn công.
Các nhà nghiên cứu cho biết thêm: khi đưa được các mã độc vào các process hợp lệ này, malware sẽ giúp những hacker dễ dàng vượt qua các cơ chế bảo mật để bảo vệ hệ thống và đưa vào các phần mềm độc hại.
Bên cạnh việc vượt qua các hạn chế cấp process, kỹ thuật AtomBombing cũng cho phép những kẻ tấn công thực hiện cách thức tấn công trình duyệt man-in-the-middle (MITM), chụp ảnh màn hình từ xa đối với máy tính của người dùng nạn nhân, và truy cập vào các mật khẩu mã hóa được lưu trên trình duyệt.
Google Chrome mã hóa các mật khẩu của bạn bằng cách sử dụng API Windows Data Protection (DPAPI), trong đó sử dụng dữ liệu thu được từ người dùng hiện tại để mã hóa hoặc giải mã dữ liệu và truy cập vào mật khẩu.
Vì vậy, nếu malware được “tiêm vào” (inject) trong một process đang chạy trong phạm vi của người dùng hiện tại, nó có thể truy cập vào toàn bộ các mật khẩu đó dưới dạng văn bản gốc (plain text), chưa được mã hóa.
Hơn nữa, bằng cách tiêm đoạn mã vào trong trình duyệt web, những kẻ tấn công có thể chỉnh sửa nội dung hiển thị cho người dùng.
Đến nay, mọi phiên bản của hệ điều hành Windows, bao gồm cả phiên bản Windows 10 mới nhất, đều bị ảnh hưởng. Điều này còn tồi tệ hơn nữa khi hiện giờ vẫn chưa có bản sửa lỗi nào cho nó.
Do kỹ thuật tấn công AtomBombing khai thác các hàm hợp lệ của hệ điều hành để thực hiện cuộc tấn công, điều này cũng có nghĩa là Microsoft không thể khắc phục vấn đề này bằng một bản vá. Thay vào đó họ phải thay đổi cách toàn bộ hệ điều hành này hoạt động, một giải pháp dường như khó có thể khả thi.