Friendoffriends
Inget operativsystem är hotsäkert och alla användare vet detta. Det finns en ständig kamp mellan programvaruföretag å ena sidan och hackare å andra sidan. Det verkar som om det finns många sårbarheter som hackare kan dra nytta av, särskilt när det gäller Windows OS.
I början av augusti rapporterade vi om Windows 10: s SilentCleanup-processer som kan användas av angripare för att låta skadlig kod glida genom UAC-grinden till användarnas dator. Enligt de senaste rapporterna är detta inte den enda sårbarheten som gömmer sig i Windows UAC.
En ny UAC-förbikoppling med förhöjda behörigheter har upptäckts i alla Windows-versioner. Denna sårbarhet har sitt ursprung i operativsystemets miljövariabler och gör det möjligt för hackare att kontrollera barnprocesser och ändra miljövariabler.
Hur fungerar den här nya UAC-sårbarheten?
En miljö är en samling variabler som används av processer eller användare. Dessa variabler kan ställas in av användare, program eller själva Windows-operativsystemet och deras huvudsakliga roll är att göra Windows-processerna flexibla.
Miljövariabler som ställts in av processer är tillgängliga för den processen och dess barn. Miljön som skapas av processvariabler är flyktig och existerar bara medan processen körs och försvinner helt och lämnar inget spår alls när processen avslutas.
Det finns också en andra typ av miljövariabler som finns över hela systemet efter varje omstart. De kan ställas in i systemegenskaperna av administratörer eller direkt genom att ändra registervärden under miljönyckeln.
Hackare kan använda dessa variabler till deras fördel. De kan använda en skadlig C: / Windows-mappkopia och lura systemvariabler för att använda resurserna från den skadliga mappen, så att de kan infektera systemet med skadliga DLL-filer och undvika att detekteras av systemets antivirusprogram. Det värsta är att detta beteende förblir aktivt efter varje omstart.
Miljövariabelutvidgning i Windows gör det möjligt för en angripare att samla in information om ett system före en attack och så småningom ta fullständig och ihållande kontroll av systemet vid tidpunkten för valet genom att köra ett enda kommandon på användarnivå eller alternativt ändra en registernyckel.
Den här vektorn låter också angriparens kod i form av en DLL laddas in i legitima processer hos andra leverantörer eller själva operativsystemet och maskerar dess handlingar som målprocessens åtgärder utan att behöva använda kodinjektionstekniker eller använda minnesmanipulation.
Microsoft tror inte att denna sårbarhet utgör en säkerhetsnöd, men kommer ändå att korrigera den i framtiden.
