Mikään käyttöjärjestelmä ei ole uhkakestävä, ja jokainen käyttäjä tietää tämän. On ikuinen taistelu toisaalta ohjelmistoyritysten ja hakkereiden välillä. Vaikuttaa siltä, että hakkereita voi hyödyntää monia haavoittuvuuksia, varsinkin kun kyse on Windows-käyttöjärjestelmästä.
Elokuun alussa kerroimme Windows 10: n SilentCleanup-prosesseista, joita hyökkääjät voivat käyttää haittaohjelmien liukastumiseen UAC-portti käyttäjien tietokoneisiin. Viimeaikaisten raporttien mukaan tämä ei ole ainoa piilossa oleva haavoittuvuus Windowsin UAC.
Uusi UAC-ohitus, jolla on korotetut oikeudet, on havaittu kaikissa Windows-versioissa. Tämä haavoittuvuus juontaa käyttöjärjestelmän ympäristömuuttujista ja antaa hakkereille mahdollisuuden hallita aliprosesseja ja muuttaa ympäristömuuttujia.
Kuinka tämä uusi UAC-haavoittuvuus toimii?
Ympäristö on kokoelma muuttujia, joita prosessit tai käyttäjille. Nämä muuttujat voivat asettaa käyttäjät, ohjelmat tai itse Windows-käyttöjärjestelmä, ja niiden tärkein tehtävä on tehdä Windows-prosesseista joustavia.
Prosessien asettamat ympäristömuuttujat ovat kyseisen prosessin ja sen lasten käytettävissä. Prosessimuuttujien luoma ympäristö on epävakaa, olemassa vain prosessin ollessa käynnissä ja katoaa kokonaan, jättäen jälkiä lainkaan, kun prosessi päättyy.
On myös toisen tyyppisiä ympäristömuuttujia, jotka ovat läsnä koko järjestelmässä jokaisen uudelleenkäynnistyksen jälkeen. Järjestelmänvalvojat voivat asettaa ne järjestelmän ominaisuuksiin tai suoraan muuttamalla rekisteriarvoja Ympäristö-avaimen alla.
Hakkerit voivat käyttää näitä muuttujia heidän edukseen. He voivat käyttää haitallista C: / Windows - kansion kopiota ja huijata järjestelmän muuttujia käyttämään vahingollisen kansion, jolloin ne voivat tartuttaa järjestelmän haitallisilla DLL-tiedostoilla ja välttää järjestelmän tunnistamista virustentorjunta. Pahinta on, että tämä käyttäytyminen pysyy aktiivisena jokaisen uudelleenkäynnistyksen jälkeen.
Ympäristön muuttujan laajennus Windowsissa antaa hyökkääjälle mahdollisuuden kerätä tietoja järjestelmästä ennen hyökkäystä ja lopulta ottaa järjestelmän täydellinen ja jatkuva hallinta valitsemallaan hetkellä suorittamalla yksi käyttäjätason komento tai vaihtoehtoisesti vaihtamalla yksi rekisteriavain.
Tämä vektori antaa hyökkääjän koodin DLL-muodossa ladata myös muiden toimittajien tai käyttöjärjestelmän laillisiin prosesseihin ja naamioida toimintansa kohdeprosessin toimiksi tarvitsematta käyttää koodinsyöttötekniikoita tai käyttää muistia manipulointeja.
Microsoft ei usko, että tämä haavoittuvuus on tietoturvatilanne, mutta korjaa sen kuitenkin tulevaisuudessa.
Aiheeseen liittyvät tarinat, jotka sinun on tarkistettava:
- Hakkerit lähettävät sähköposteja Windows-käyttäjille teeskentelevän olevansa Microsoftin tukitiimiltä
- Windows XP on nyt erittäin helppo kohde hakkereille, Windows 10 -päivitys on pakollinen
- Lataa elokuun 2016 korjaustiedosto yhdeksällä tietoturvapäivityksellä
