Intet operativsystem er trusselsikkert, og enhver bruger ved dette. Der er en igangværende kamp mellem softwarevirksomheder på den ene side og hackere på den anden side. Det ser ud til, at der er mange sårbarheder, som hackere kan drage fordel af, især når det kommer til Windows OS.
I begyndelsen af august rapporterede vi om Windows 10's SilentCleanup-processer, som kan bruges af angribere til at tillade, at malware glider igennem UAC-porten ind i brugernes computer. Ifølge nylige rapporter er dette ikke den eneste sårbarhed, der gemmer sig i Windows 'UAC.
En ny UAC-bypass med forhøjede privilegier er blevet opdaget i alle Windows-versioner. Denne sårbarhed stammer fra OS-miljøvariablerne og giver hackere mulighed for at kontrollere underordnede processer og ændre miljøvariabler.
Hvordan fungerer denne nye UAC-sårbarhed?
Et miljø er en samling af variabler, der bruges af processer eller brugere. Disse variabler kan indstilles af brugere, programmer eller selve Windows OS, og deres vigtigste rolle er at gøre Windows-processerne fleksible.
Miljøvariabler indstillet af processer er tilgængelige for denne proces og dens børn. Miljøet skabt af procesvariabler er flygtigt og eksisterer kun, mens processen kører, og forsvinder fuldstændigt og efterlader intet spor, når processen slutter.
Der er også en anden type miljøvariabler, der findes over hele systemet efter hver genstart. De kan indstilles i systemegenskaberne af administratorer eller direkte ved at ændre registerværdier under miljønøglen.
Hackere kan Brug disse variabler til deres fordel. De kan bruge en ondsindet C: / Windows-mappekopi og narre systemvariabler til at bruge ressourcerne fra ondsindet mappe, så de kan inficere systemet med ondsindede DLL'er og undgå at blive opdaget af systemets antivirus. Den værste del er, at denne adfærd forbliver aktiv efter hver genstart.
Udvidelse af miljøvariabler i Windows giver en hacker mulighed for at indsamle oplysninger om et system inden et angreb og til sidst tage fuldstændig og vedvarende kontrol af systemet på valgtidspunktet ved at køre en enkelt kommando på brugerniveau eller alternativt ændre en registreringsdatabasenøgle.
Denne vektor lader også angriberens kode i form af en DLL indlæses i legitime processer fra andre leverandører eller selve operativsystemet og maskerede sine handlinger som målprocessens handlinger uden at skulle bruge kodeinjektionsteknikker eller bruge hukommelse manipulationer.
Microsoft mener ikke, at denne sårbarhed udgør en sikkerhedsnødsituation, men alligevel lapper den i fremtiden.
RELATEREDE HISTORIER, DU SKAL KONTROLLERE:
- Hackere sender e-mails til Windows-brugere, der foregiver at være fra Microsofts supportteam
- Windows XP er nu et meget let mål for hackere, Windows 10-opdatering er obligatorisk
- Download august 2016 Patch tirsdag med ni sikkerhedsopdateringer
