Нито една операционна система не е устойчива на заплахи и всеки потребител знае това. Има непрекъсната битка между софтуерни компании, от една страна, и хакери, от друга страна. Изглежда, че хакерите могат да се възползват от много уязвимости, особено когато става въпрос за операционната система Windows.
В началото на август докладвахме за процесите на SilentCleanup на Windows 10, които могат да се използват от нападателите, за да позволят на зловредния софтуер да се промъкне портата на UAC в компютъра на потребителите. Според последните съобщения това не е единствената криеща се уязвимост Windows ’UAC.
Във всички версии на Windows е открит нов байпас на UAC с повишени привилегии. Тази уязвимост се корени в променливите на околната среда на ОС и позволява на хакерите да контролират дъщерни процеси и да променят променливите на средата.
Как работи тази нова уязвимост на UAC?
Средата е колекция от променливи, използвани от процеси или потребители. Тези променливи могат да бъдат зададени от потребители, програми или самата операционна система Windows и тяхната основна роля е да направят процесите на Windows гъвкави.
Променливите на околната среда, зададени от процеси, са достъпни за този процес и неговите деца. Средата, създадена от променливи на процеса, е изменчива, съществува само докато процесът се изпълнява и изчезва напълно, без да оставя никакви следи, когато процесът приключи.
Съществува и втори тип променливи на средата, които присъстват в цялата система след всяко рестартиране. Те могат да бъдат зададени в системните свойства от администраторите или директно чрез промяна на стойностите в системния регистър под ключа на околната среда.
Хакерите могат използвайте тези променливи в тяхна полза. Те могат да използват зловредни системни променливи за копиране и измама на папка C: / Windows, за да използват ресурсите от злонамерена папка, позволявайки им да заразят системата със злонамерени DLL файлове и да избегнат да бъдат открити от системата антивирусна. Най-лошото е, че това поведение остава активно след всяко рестартиране.
Разширяването на променливата среда в Windows позволява на нападателя да събира информация за системата преди атака и в крайна сметка да я вземе пълен и постоянен контрол на системата по време на избор чрез изпълнение на една команда на ниво потребител или алтернативно, промяна на такава ключ на системния регистър.
Този вектор също така позволява на кода на атакуващия под формата на DLL да се зареди в легитимни процеси на други доставчици или самата операционна система и маскирайте действията си като действия на целевия процес, без да се налага да използвате техники за инжектиране на код или да използвате памет манипулации.
Microsoft не смята, че тази уязвимост представлява спешна ситуация за сигурността, но въпреки това ще я поправи в бъдеще.
СВЪРЗАНИ ИСТОРИИ, КОИТО ТРЯБВА ДА ПРОВЕРИТЕ:
- Хакерите изпращат имейли до потребители на Windows, преструвайки се, че са от екипа за поддръжка на Microsoft
- Windows XP вече е много лесна цел за хакери, актуализацията на Windows 10 е задължителна
- Изтеглете кръпка от август 2016 г. с девет актуализации на защитата
