Da AtomBombing: un'iniezione di codice che esclude le attuali soluzioni di sicurezza :
What we found is that a threat actor can write malicious code into an atom table and force a legitimate program to retrieve the malicious code from the table. We also found that the legitimate program, now containing the malicious code, can be manipulated to execute that code.
Diapositive correlate: link
Da AtomBombing: nuovissimo codice di iniezione per Windows :
Here’s a new code injection technique, dubbed AtomBombing, which exploits Windows atom tables and Async Procedure Calls (APC). Currently, this technique goes undetected by common security solutions that focus on preventing infiltration
Poiché il problema non può essere risolto, non esiste alcuna nozione di patch per questo. Pertanto, la risposta diretta alla mitigazione sarebbe quella di tuffarsi tecnicamente nelle chiamate API e monitorare quelle per attività dannose.
D: rallenterebbe la macchina se l'AV monitorasse le chiamate API? AtomBombing è più serio di una iniezione di DLL? È vero che non può essere risolto? È qualcosa di nuovo o solo una vecchia cosa scritta in un blog al giorno d'oggi che è stata testata in win10 ma precedentemente conosciuta?