Friendoffriends
Żaden system operacyjny nie jest odporny na zagrożenia i każdy użytkownik o tym wie. Trwa nieustanna walka między firmami programistycznymi z jednej strony, a hakerami z drugiej. Wygląda na to, że hakerzy mogą wykorzystać wiele luk w zabezpieczeniach, zwłaszcza jeśli chodzi o system operacyjny Windows.
Na początku sierpnia informowaliśmy o procesach SilentCleanup systemu Windows 10, które mogą być wykorzystywane przez atakujących, aby umożliwić złośliwemu oprogramowaniu przedostanie się przez bramę UAC do komputera użytkowników. Według ostatnich doniesień nie jest to jedyna luka ukryta w UAC systemu Windows.
We wszystkich wersjach systemu Windows wykryto nowe obejście UAC z podwyższonymi uprawnieniami. Ta luka jest zakorzeniona w zmiennych środowiskowych systemu operacyjnego i pozwala hakerom kontrolować procesy potomne i zmieniać zmienne środowiskowe.
Jak działa ta nowa luka w zabezpieczeniach UAC?
Środowisko to zbiór zmiennych używanych przez procesy lub użytkowników. Zmienne te mogą być ustawiane przez użytkowników, programy lub sam system operacyjny Windows, a ich główną rolą jest uelastycznienie procesów Windows.
Zmienne środowiskowe ustawione przez procesy są dostępne dla tego procesu i jego dzieci. Środowisko tworzone przez zmienne procesowe jest niestabilne, istnieje tylko wtedy, gdy proces jest uruchomiony i znika całkowicie, nie pozostawiając żadnego śladu po zakończeniu procesu.
Istnieje również drugi typ zmiennych środowiskowych, które są obecne w całym systemie po każdym ponownym uruchomieniu. Administratorzy mogą je ustawić we właściwościach systemu lub bezpośrednio, zmieniając wartości rejestru w kluczu Środowisko.
Hakerzy mogą wykorzystać te zmienne na swoją korzyść. Mogą użyć złośliwej kopii folderu C: / Windows i nakłonić zmienne systemowe do wykorzystania zasobów ze szkodliwego folderu, umożliwiając im zainfekowanie systemu złośliwymi bibliotekami DLL i uniknięcie wykrycia przez program antywirusowy systemu. Najgorsze jest to, że to zachowanie pozostaje aktywne po każdym ponownym uruchomieniu.
Rozwijanie zmiennych środowiskowych w systemie Windows umożliwia atakującemu zebranie informacji o systemie przed atakiem i ostatecznie przejęcie pełnej i trwałej kontroli nad systemem w wybranym przez siebie momencie poprzez uruchomienie pojedynczego polecenia na poziomie użytkownika lub alternatywnie zmianę jednego klucza rejestru.
Ten wektor pozwala również atakującemu kodowi w postaci biblioteki DLL załadować się do legalnych procesów innych dostawców lub samego systemu operacyjnego i maskować jego działania jako działania procesu docelowego bez konieczności stosowania technik wstrzykiwania kodu lub manipulacji pamięcią.
Firma Microsoft nie uważa, że ta luka w zabezpieczeniach stanowi zagrożenie bezpieczeństwa, ale mimo to poprawi ją w przyszłości.
