Aucun système d'exploitation n'est à l'abri des menaces et chaque utilisateur le sait. Il y a un bataille perpétuelle entre les éditeurs de logiciels, d'une part, et les pirates informatiques, d'autre part. Il semble qu'il existe de nombreuses vulnérabilités dont les pirates peuvent tirer parti, en particulier en ce qui concerne le système d'exploitation Windows.
Début août, nous avons signalé les processus SilentCleanup de Windows 10 qui peuvent être utilisés par des attaquants pour permettre aux logiciels malveillants de se faufiler. la porte UAC dans l'ordinateur des utilisateurs. Selon des rapports récents, ce n'est pas la seule vulnérabilité qui se cache dans UAC de Windows.
Un nouveau contournement de l'UAC avec des privilèges élevés a été détecté dans toutes les versions de Windows. Cette vulnérabilité prend racine dans les variables d'environnement du système d'exploitation et permet aux pirates de contrôler les processus enfants et de modifier les variables d'environnement.
Comment fonctionne cette nouvelle vulnérabilité UAC ?
Un environnement est un ensemble de variables utilisées par processus ou utilisateurs. Ces variables peuvent être définies par les utilisateurs, les programmes ou le système d'exploitation Windows lui-même et leur rôle principal est de rendre les processus Windows flexibles.
Les variables d'environnement définies par les processus sont disponibles pour ce processus et ses enfants. L'environnement créé par les variables de processus est volatile, n'existe que pendant l'exécution du processus et disparaît complètement, ne laissant aucune trace, lorsque le processus se termine.
Il existe également un deuxième type de variables d'environnement, qui sont présentes sur l'ensemble du système après chaque redémarrage. Ils peuvent être définis dans les propriétés système par les administrateurs ou directement en modifiant les valeurs de registre sous la clé d'environnement.
Les pirates peuvent utiliser ces variables à leur avantage. Ils peuvent utiliser une copie de dossier C:/Windows malveillante et tromper les variables système en utilisant les ressources du dossier malveillant, leur permettant d'infecter le système avec des DLL malveillantes et d'éviter d'être détectés par le système antivirus. Le pire est que ce comportement reste actif après chaque redémarrage.
L'expansion des variables d'environnement dans Windows permet à un attaquant de recueillir des informations sur un système avant une attaque et éventuellement de prendre contrôle complet et persistant du système au moment du choix en exécutant une seule commande au niveau de l'utilisateur, ou bien en en modifiant une clé d'enregistrement.
Ce vecteur permet également au code de l'attaquant sous la forme d'une DLL de se charger dans des processus légitimes d'autres fournisseurs ou du système d'exploitation lui-même. et déguiser ses actions en actions du processus cible sans avoir à utiliser des techniques d'injection de code ou d'utiliser de la mémoire manipulations.
Microsoft ne pense pas que cette vulnérabilité constitue une urgence de sécurité, mais la corrigera néanmoins à l'avenir.
HISTOIRES CONNEXES QUE VOUS DEVEZ VÉRIFIER :
- Les pirates envoient des e-mails aux utilisateurs de Windows en prétendant appartenir à l'équipe de support de Microsoft
- Windows XP est désormais une cible très facile pour les pirates, la mise à jour de Windows 10 est obligatoire
- Téléchargez le Patch Tuesday d'août 2016 avec neuf mises à jour de sécurité