Żaden system operacyjny nie jest odporny na zagrożenia i każdy użytkownik to wie. Trwa nieustanna walka między firmami produkującymi oprogramowanie, z jednej strony, a hakerami, z drugiej strony. Wygląda na to, że istnieje wiele luk, z których mogą skorzystać hakerzy, zwłaszcza jeśli chodzi o system operacyjny Windows.

Na początku sierpnia informowaliśmy o procesach SilentCleanup w systemie Windows 10, które mogą być wykorzystywane przez atakujących, aby umożliwić złośliwemu oprogramowaniu przenikanie przez bramę UAC do komputera użytkownika. Według najnowszych raportów nie jest to jedyna luka ukryta w UAC systemu Windows.

Nowe obejście UAC z podwyższonymi uprawnieniami zostało wykryte we wszystkich wersjach systemu Windows. Ta luka ma swoje źródło w zmiennych środowiskowych systemu operacyjnego i umożliwia hakerom kontrolowanie procesów potomnych oraz zmianę zmiennych środowiskowych.

Jak działa ta nowa luka UAC?

Środowisko to zbiór zmiennych używanych przez procesy lub użytkowników. Zmienne te mogą być ustawiane przez użytkowników, programy lub sam system operacyjny Windows, a ich główną rolą jest uelastycznienie procesów Windows.

Zmienne środowiskowe ustawione przez procesy są dostępne dla tego procesu i jego potomków. Środowisko utworzone przez zmienne procesu jest zmienne, istnieje tylko podczas działania procesu i całkowicie znika, nie pozostawiając żadnych śladów po zakończeniu procesu.

Istnieje również drugi typ zmiennych środowiskowych, które są obecne w całym systemie po każdym ponownym uruchomieniu. Mogą być ustawione we właściwościach systemu przez administratorów lub bezpośrednio przez zmianę wartości rejestru w kluczu środowiska.

Hakerzy mogą wykorzystać te zmienne na swoją korzyść. Mogą używać złośliwej kopii folderu C: / Windows i oszukiwać zmienne systemowe w celu korzystania z zasobów ze złośliwego folderu, co pozwala im zainfekować system złośliwymi bibliotekami DLL i uniknąć wykrycia przez program antywirusowy systemu. Najgorsze jest to, że takie zachowanie pozostaje aktywne po każdym ponownym uruchomieniu.

Rozszerzenie zmiennych środowiskowych w systemie Windows pozwala atakującemu na zebranie informacji o systemie przed atakiem i ostatecznie przejęcie pełnej i trwałej kontroli nad systemem w wybranym momencie przez uruchomienie pojedynczego polecenia na poziomie użytkownika lub alternatywnie zmianę jednego klucza rejestru.

Ten wektor pozwala również kodowi atakującego w postaci biblioteki DLL ładować się do legalnych procesów innych dostawców lub samego systemu operacyjnego i maskować swoje działania jako działania procesu docelowego bez konieczności stosowania technik wstrzykiwania kodu lub manipulacji pamięcią.

Microsoft nie uważa, że ​​ta luka stanowi zagrożenie bezpieczeństwa, ale mimo to załatać ją w przyszłości.