Geen enkel besturingssysteem is bestand tegen bedreigingen en dat weet elke gebruiker. Er is een eeuwigdurende strijd tussen softwarebedrijven enerzijds en hackers anderzijds. Het lijkt erop dat er veel kwetsbaarheden zijn waar hackers gebruik van kunnen maken, vooral als het gaat om het Windows-besturingssysteem.
Begin augustus berichtten we over de SilentCleanup-processen van Windows 10 die door aanvallers kunnen worden gebruikt om malware door te laten glippen de UAC-poort in de computer van de gebruiker. Volgens recente rapporten is dit niet de enige kwetsbaarheid die zich in UAC van Windows.
In alle Windows-versies is een nieuwe UAC-bypass met verhoogde bevoegdheden gedetecteerd. Deze kwetsbaarheid wortelt in de omgevingsvariabelen van het besturingssysteem en stelt hackers in staat om onderliggende processen te controleren en omgevingsvariabelen te wijzigen.
Hoe werkt deze nieuwe UAC-kwetsbaarheid?
Een omgeving is een verzameling variabelen die worden gebruikt door processen of gebruikers. Deze variabelen kunnen worden ingesteld door gebruikers, programma's of het Windows-besturingssysteem zelf en hun belangrijkste rol is om de Windows-processen flexibel te maken.
Door processen ingestelde omgevingsvariabelen zijn beschikbaar voor dat proces en zijn kinderen. De omgeving die wordt gecreëerd door procesvariabelen is vluchtig, bestaat alleen terwijl het proces loopt, en verdwijnt volledig, zonder enig spoor achter te laten, wanneer het proces eindigt.
Er is ook een tweede type omgevingsvariabelen, die na elke herstart in het hele systeem aanwezig zijn. Ze kunnen door beheerders in de systeemeigenschappen worden ingesteld of rechtstreeks door de registerwaarden onder de omgevingssleutel te wijzigen.
Hackers kunnen gebruik deze variabelen in hun voordeel. Ze kunnen een kwaadaardige C:/Windows-map kopiëren en systeemvariabelen misleiden om de bronnen van de. te gebruiken kwaadaardige map, waardoor ze het systeem kunnen infecteren met kwaadaardige DLL's en voorkomen dat ze worden gedetecteerd door de systeem system antivirusprogramma. Het ergste is dat dit gedrag na elke herstart actief blijft.
Uitbreiding van omgevingsvariabelen in Windows stelt een aanvaller in staat om voorafgaand aan een aanval informatie over een systeem te verzamelen en uiteindelijk volledige en aanhoudende controle over het systeem op het moment van keuze door een enkele opdracht op gebruikersniveau uit te voeren, of als alternatief een opdracht te wijzigen registersleutel.
Met deze vector kan de code van de aanvaller in de vorm van een DLL ook worden geladen in legitieme processen van andere leveranciers of het besturingssysteem zelf en zijn acties vermommen als de acties van het doelproces zonder code-injectietechnieken te hoeven gebruiken of geheugen te gebruiken manipulaties.
Microsoft denkt niet dat dit beveiligingslek een beveiligingsprobleem vormt, maar zal het in de toekomst toch patchen.
VERWANTE VERHALEN DIE JE MOET BEKIJKEN:
- Hackers sturen e-mails naar Windows-gebruikers die doen alsof ze afkomstig zijn van het ondersteuningsteam van Microsoft
- Windows XP is nu een zeer gemakkelijk doelwit voor hackers, Windows 10-update is verplicht
- Download Patch Tuesday van augustus 2016 met negen beveiligingsupdates
