Yksikään käyttöjärjestelmä ei ole uhkavarma, ja jokainen käyttäjä tietää tämän. Toisaalta ohjelmistoyritysten ja toisaalta hakkereiden välillä käydään jatkuvaa taistelua. Näyttää siltä, ​​että hakkerit voivat hyödyntää monia haavoittuvuuksia, etenkin kun kyse on Windows-käyttöjärjestelmästä.

Elokuun alussa kerroimme Windows 10: n SilentCleanup-prosesseista, joita hyökkääjät voivat käyttää salliakseen haittaohjelmien liukua UAC-portin läpi käyttäjien tietokoneisiin. Viimeaikaisten raporttien mukaan tämä ei ole ainoa Windowsin UAC: n piilossa oleva haavoittuvuus.

Kaikissa Windows-versioissa on havaittu uusi UAC-ohitus, jolla on korotetut oikeudet. Tämä haavoittuvuus juontaa käyttöjärjestelmän ympäristömuuttujiin, ja antaa hakkereille mahdollisuuden ohjata lapsiprosesseja ja muuttaa ympäristömuuttujia.

Kuinka tämä uusi UAC-haavoittuvuus toimii?

Ympäristö on kokoelma muuttujia, joita prosessit tai käyttäjät käyttävät. Käyttäjät, ohjelmat tai itse Windows-käyttöjärjestelmä voi asettaa nämä muuttujat, ja niiden päätehtävänä on tehdä Windows-prosesseista joustavia.

Prosessien asettamat ympäristömuuttujat ovat prosessin ja sen lasten käytettävissä. Prosessimuuttujien luoma ympäristö on haihtuva, olemassa vain prosessin ollessa käynnissä, ja se katoaa kokonaan, jättämättä jälkeäkään prosessin päättyessä.

On myös toisen tyyppisiä ympäristömuuttujia, joita on koko järjestelmässä jokaisen uudelleenkäynnistyksen jälkeen. Järjestelmänvalvojat voivat asettaa ne järjestelmän ominaisuuksiin tai suoraan muuttamalla rekisteriarvoja Ympäristö-avaimessa.

Hakkerit voivat käyttää näitä muuttujia edukseen. He voivat käyttää vahingollista C: / Windows-kansion kopiointia ja huijata järjestelmämuuttujia käyttämään haitallisen kansion resursseja, jotta ne voivat saastuttaa järjestelmän haitallisilla DLL-tiedostoilla ja välttää järjestelmän virustorjunta havaitsemasta niitä. Pahinta on, että tämä käyttäytyminen pysyy aktiivisena jokaisen uudelleenkäynnistyksen jälkeen.

Ympäristömuuttujan laajennus Windowsissa antaa hyökkääjälle kerätä tietoja järjestelmästä ennen hyökkäystä ja lopulta ottaa järjestelmän täydellisen ja jatkuvan hallinnan valittuna ajankohtana suorittamalla yhden käyttäjätason komennon tai vaihtoehtoisesti muuttamalla yhtä rekisteriavainta.

Tämä vektori antaa myös hyökkääjän koodin DLL: n muodossa ladata muiden myyjien tai itse käyttöjärjestelmän laillisiin prosesseihin ja naamioida sen toiminnot kohdeprosessin toimintoiksi käyttämättä koodin injektiotekniikoita tai muistokäsittelyjä.

Microsoft ei usko, että tämä haavoittuvuus muodostaa turvallisuustilanteen, mutta korjaa sen kuitenkin tulevaisuudessa.