Nijedan operativni sustav nije zaštićen od prijetnji i svaki korisnik to zna. Postoji neprestana bitka između softverskih tvrtki, s jedne strane, i hakera, s druge strane. Čini se da postoji mnogo ranjivosti koje hakeri mogu iskoristiti, posebno kada je u pitanju Windows OS.
Početkom kolovoza izvjestili smo o procesima SilentCleanup u sustavu Windows 10 koje napadači mogu koristiti kako bi se malware provukao UAC vrata u računalo korisnika. Prema nedavnim izvješćima, ovo nije jedina ranjivost koja se skriva Windowsov UAC.
Nova UAC zaobilaznica s povišenim privilegijama otkrivena je u svim verzijama sustava Windows. Ova ranjivost ukorijenjena je u varijable okruženja OS-a i omogućuje hakerima kontrolu nad procesima djeteta i promjenu varijabli okoline.
Kako funkcionira ova nova UAC ranjivost?
Okruženje je skup varijabli koje koristi procesi ili korisnici. Te varijable mogu postaviti korisnici, programi ili sam Windows OS, a njihova glavna uloga je učiniti Windows procese fleksibilnima.
Varijable okruženja postavljene procesima dostupne su tom procesu i njegovoj djeci. Okruženje stvoreno procesnim varijablama hlapljivo je, postoji samo dok je proces pokrenut i potpuno nestaje, ne ostavljajući nikakav trag kad proces završi.
Postoji i druga vrsta varijabli okruženja, koje su prisutne u cijelom sustavu nakon svakog ponovnog pokretanja. Administratori ih mogu postaviti u svojstvima sustava ili izravno mijenjanjem vrijednosti registra pod ključem Okolina.
Hakeri mogu koristite ove varijable u svoju korist. Mogu koristiti zlonamjerne sistemske varijable za kopiranje i izigravanje mape C: / Windows da bi koristili resurse s zlonamjerne mape, omogućujući im da zaraze sustav zlonamjernim DLL-ovima i izbjegnu da ih sustav otkrije antivirusni. Najgore je što ovo ponašanje ostaje aktivno nakon svakog ponovnog pokretanja.
Proširenje promjenjive okoline u sustavu Windows omogućuje napadaču prikupljanje podataka o sustavu prije napada i eventualno preuzimanje potpunu i trajnu kontrolu sustava u vrijeme izbora pokretanjem jedne naredbe na razini korisnika ili, pak, promjenom jedne ključ registra.
Ovaj vektor također omogućuje šifru napadača u obliku DLL-a da se učita u legitimne procese drugih dobavljača ili samog OS-a i maskiraju svoje radnje kao radnje ciljanog procesa bez upotrebe tehnika ubrizgavanja koda ili upotrebe memorije manipulacije.
Microsoft ne misli da ova ranjivost predstavlja sigurnosnu nuždu, ali će je unaprijediti u budućnosti.
POVEZANE PRIČE KOJE TREBAJTE PROVJERITI:
- Hakeri šalju e-poštu korisnicima Windowsa pretvarajući se da su od Microsoftovog tima za podršku
- Windows XP sada je vrlo jednostavan cilj za hakere, a ažuriranje za Windows 10 je obavezno
- Preuzmite zakrpu za kolovoz 2016. s devet sigurnosnih ažuriranja
