Egyetlen operációs rendszer sem fenyegetettséges, és ezt minden felhasználó tudja. Van egy örökös csata egyrészt a szoftvercégek, másrészt a hackerek között. Úgy tűnik, sok biztonsági rést tudnak kihasználni a hackerek, különösen, ha a Windows operációs rendszerről van szó.
Augusztus elején beszámoltunk a Windows 10 SilentCleanup folyamatairól, amelyek segítségével a támadók átengedhetik a rosszindulatú programokat az UAC kapu a felhasználók számítógépébe. A legújabb jelentések szerint nem ez az egyetlen sebezhetőség rejtőzik Windows UAC.
Új, emelt szintű jogosultságokkal rendelkező UAC bypass került észlelésre az összes Windows verzióban. Ez a biztonsági rés az operációs rendszer környezeti változóiban gyökerezik, és lehetővé teszi a hackerek számára a gyermekfolyamatok ellenőrzését és a környezeti változók megváltoztatását.
Hogyan működik ez az új UAC biztonsági rés?
A környezet az általuk használt változók gyűjteménye folyamatok vagy a felhasználók. Ezeket a változókat beállíthatják a felhasználók, a programok vagy maga a Windows operációs rendszer, és fő szerepük a Windows folyamatainak rugalmassá tétele.
A folyamatok által beállított környezeti változók elérhetők annak a folyamatnak és gyermekeinek. A folyamatváltozók által létrehozott környezet ingatag, csak a folyamat futása közben létezik, és teljesen eltűnik, nyomát sem hagyva, amikor a folyamat véget ér.
Van egy második típusú környezeti változó is, amelyek minden újraindítás után jelen vannak a teljes rendszerben. A rendszergazdák beállíthatják őket a rendszer tulajdonságaiban, vagy közvetlenül a Környezet kulcs alatti nyilvántartási értékek megváltoztatásával.
A hackerek megtehetik használja ezeket a változókat előnyükre. Rosszindulatú C: / Windows mappát másolhatnak, és becsaphatják a rendszerváltozókat a rosszindulatú mappa, amely lehetővé teszi számukra, hogy rosszindulatú DLL-ekkel fertőzzék meg a rendszert, és elkerüljék, hogy a rendszer észlelje őket víruskereső. A legrosszabb, hogy ez a viselkedés minden újraindítás után aktív marad.
A környezeti változók kibővítése a Windows rendszerben lehetővé teszi a támadó számára, hogy a támadás előtt információkat gyűjtsön egy rendszerről, és végül átvegye a rendszer teljes és tartós vezérlése a választáskor egyetlen felhasználói szintű parancs futtatásával, vagy annak megváltoztatásával rendszerleíró kulcs.
Ez a vektor lehetővé teszi a támadó kódjának DLL formájában történő betöltését más gyártók vagy maga az operációs rendszer legitim folyamataiba is és cselekvéseit célfolyamatként maszkírozza, anélkül, hogy kódinjekciós technikákat vagy memóriát kellene használnia manipulációk.
A Microsoft nem gondolja, hogy ez a biztonsági rés biztonsági vészhelyzetet jelent, de ennek ellenére a jövőben javítja.
KAPCSOLÓDÓ TÖRTÉNETEK, AMELYEKET ELLENŐRZNI KELL:
- A hackerek e-maileket küldenek a Windows felhasználóinak, úgy tesznek, mintha a Microsoft támogatási csapatától származnának
- A Windows XP ma már nagyon egyszerű célpont a hackerek számára, a Windows 10 frissítés kötelező
- Töltse le 2016. augusztus Patch keddjét kilenc biztonsági frissítéssel
