Nessun sistema operativo è a prova di minaccia e ogni utente lo sa. C'è un battaglia incessante tra le società di software, da un lato, e gli hacker, dall'altro. Sembra che ci siano molte vulnerabilità di cui gli hacker possono trarre vantaggio, specialmente quando si tratta del sistema operativo Windows.
All'inizio di agosto, abbiamo segnalato i processi SilentCleanup di Windows 10 che possono essere utilizzati dagli aggressori per consentire al malware di sfuggire il cancello UAC nel computer degli utenti. Secondo recenti rapporti, questa non è l'unica vulnerabilità che si nasconde in Controllo dell'account utente di Windows.
È stato rilevato un nuovo bypass UAC con privilegi elevati in tutte le versioni di Windows. Questa vulnerabilità è radicata nelle variabili di ambiente del sistema operativo e consente agli hacker di controllare i processi figlio e modificare le variabili di ambiente.
Come funziona questa nuova vulnerabilità UAC?
Un ambiente è un insieme di variabili usate da processi
o utenti. Queste variabili possono essere impostate da utenti, programmi o dal sistema operativo Windows stesso e il loro ruolo principale è quello di rendere flessibili i processi di Windows.Le variabili di ambiente impostate dai processi sono disponibili per quel processo e i suoi figli. L'ambiente creato dalle variabili di processo è volatile, esiste solo durante l'esecuzione del processo e scompare completamente, senza lasciare alcuna traccia, al termine del processo.
Esiste anche un secondo tipo di variabili d'ambiente, che sono presenti nell'intero sistema dopo ogni riavvio. Possono essere impostati nelle proprietà del sistema dagli amministratori o direttamente modificando i valori del registro nella chiave Ambiente.
Gli hacker possono usa queste variabili a loro vantaggio. Possono utilizzare una copia dannosa della cartella C:/Windows e indurre le variabili di sistema a utilizzare le risorse da from cartella dannosa, consentendo loro di infettare il sistema con DLL dannose ed evitare di essere rilevati dal sistema antivirus. La parte peggiore è che questo comportamento rimane attivo dopo ogni riavvio.
L'espansione della variabile d'ambiente in Windows consente a un utente malintenzionato di raccogliere informazioni su un sistema prima di un attacco ed eventualmente prendere controllo completo e persistente del sistema al momento della scelta eseguendo un singolo comando a livello utente o, in alternativa, modificandone uno chiave di registro.
Questo vettore consente anche al codice dell'attaccante sotto forma di una DLL di caricarsi nei processi legittimi di altri fornitori o nel sistema operativo stesso e mascherare le sue azioni come azioni del processo di destinazione senza dover utilizzare tecniche di iniezione di codice o utilizzare la memoria manipolazioni.
Microsoft non ritiene che questa vulnerabilità costituisca un'emergenza di sicurezza, ma la correggerà comunque in futuro.
STORIE CORRELATE CHE DEVI SCOPRIRE:
- Gli hacker inviano e-mail agli utenti Windows fingendo di appartenere al team di supporto di Microsoft
- Windows XP è ora un bersaglio molto facile per gli hacker, l'aggiornamento di Windows 10 è obbligatorio
- Scarica la patch di agosto 2016 del martedì con nove aggiornamenti di sicurezza
