Niciun sistem de operare nu este rezistent la amenințări și fiecare utilizator știe acest lucru. Există o luptă permanentă între companiile de software, pe de o parte, și hackerii, pe de altă parte. Se pare că există numeroase vulnerabilități de care hackerii pot profita, mai ales când vine vorba de sistemul de operare Windows.

La începutul lunii august, am raportat despre procesele SilentCleanup de Windows 10 care pot fi utilizate de atacatori pentru a permite malware-ului să alunece prin poarta UAC în computerul utilizatorilor. Conform rapoartelor recente, aceasta nu este singura vulnerabilitate ascunsă în UAC-ul Windows.

Un nou bypass UAC cu privilegii crescute a fost detectat în toate versiunile Windows. Această vulnerabilitate își are rădăcinile în variabilele de mediu ale sistemului de operare și permite hackerilor să controleze procesele copilului și să schimbe variabilele de mediu.

Cum funcționează această nouă vulnerabilitate UAC?

Un mediu este o colecție de variabile utilizate de procese sau utilizatori. Aceste variabile pot fi setate de utilizatori, programe sau sistemul de operare Windows în sine, iar rolul lor principal este de a face procesele Windows flexibile.

Variabilele de mediu setate de procese sunt disponibile procesului respectiv și copiilor săi. Mediul creat de variabilele procesului este unul volatil, existent doar în timp ce procesul se execută și dispare complet, fără a lăsa urme deloc la finalizarea procesului.

Există, de asemenea, un al doilea tip de variabile de mediu, care sunt prezente pe întregul sistem după fiecare repornire. Acestea pot fi setate în proprietățile sistemului de către administratori sau direct modificând valorile registrului sub cheia Mediu.

Hackerii pot folosi aceste variabile în avantajul lor. Acestea pot utiliza o copie de folder C: / Windows rău intenționat și să păstreze variabilele de sistem pentru a utiliza resursele din folderul rău intenționat, permițându-le să infecteze sistemul cu DLL-uri dăunătoare și să evite să fie detectate de antivirusul sistemului. Partea cea mai rea este că acest comportament rămâne activ după fiecare repornire.

Extinderea variabilă a mediului în Windows permite unui atacator să adune informații despre un sistem înainte de atac și, în cele din urmă, să ia un control complet și persistent al sistemului la momentul alegerii, rulând o singură comandă la nivel de utilizator sau, alternativ, schimbând o cheie de registru.

Acest vector permite, de asemenea, codul atacatorului, sub forma unui DLL, să se încarce în procesele legitime ale altor furnizori sau sistemul de operare în sine și să mascheze acțiunile sale ca acțiuni ale procesului țintă, fără a fi nevoie să folosească tehnici de injectare de cod sau să folosească manipulări de memorie.

Microsoft nu crede că această vulnerabilitate constituie o situație de urgență pentru securitate, dar totuși o va remedia în viitor.