Intet operativsystem er trussikkert, og hver bruker vet dette. Det er en evigvarende kamp mellom programvareselskaper på den ene siden og hackere på den andre siden. Det ser ut til at det er mange sårbarheter som hackere kan dra nytte av, spesielt når det gjelder Windows OS.
I begynnelsen av august rapporterte vi om Windows 10s SilentCleanup-prosesser som kan brukes av angripere for å la skadelig programvare skli gjennom UAC-porten inn på brukernes datamaskin. I følge nylige rapporter er dette ikke den eneste sårbarheten som gjemmer seg i Windows UAC.
En ny UAC-bypass med forhøyede privilegier er oppdaget i alle Windows-versjoner. Dette sårbarheten er basert på miljøvariablene til operativsystemet, og lar hackere kontrollere barneprosesser og endre miljøvariabler.
Hvordan fungerer denne nye UAC-sårbarheten?
Et miljø er en samling variabler som brukes av prosesser eller brukere. Disse variablene kan angis av brukere, programmer eller selve Windows OS, og deres viktigste rolle er å gjøre Windows-prosessene fleksible.
Miljøvariabler satt av prosesser er tilgjengelige for den prosessen og dens barn. Miljøet skapt av prosessvariabler er flyktig og eksisterer bare mens prosessen kjører, og forsvinner fullstendig og gir ingen spor i det hele tatt når prosessen avsluttes.
Det er også en annen type miljøvariabler som er tilstede over hele systemet etter hver omstart. De kan angis i systemegenskapene av administratorer, eller direkte ved å endre registerverdier under Miljønøkkelen.
Hackere kan bruk disse variablene til deres fordel. De kan bruke en ondsinnet C: / Windows-mappekopi og lure systemvariabler til å bruke ressursene fra skadelig mappe, slik at de kan infisere systemet med ondsinnede DLLer, og unngå å bli oppdaget av systemets antivirus. Det verste er at denne oppførselen forblir aktiv etter hver omstart.
Utvidelse av miljøvariabler i Windows lar en angriper samle informasjon om et system før et angrep og til slutt ta fullstendig og vedvarende kontroll av systemet på valgtidspunktet ved å kjøre en enkelt kommando på brukernivå, eller alternativt endre en registernøkkel.
Denne vektoren lar også angriperens kode i form av en DLL lastes inn i legitime prosesser fra andre leverandører eller selve operativsystemet og maskerte sine handlinger som målprosessens handlinger uten å måtte bruke kodeinjeksjonsteknikker eller bruke minne manipulasjoner.
Microsoft tror ikke dette sikkerhetsproblemet utgjør en sikkerhetsnødsituasjon, men vil likevel lappe det i fremtiden.
RELATERTE STORIER DU TRENGER Å KONTROLLERE:
- Hackere sender e-post til Windows-brukere som later til å være fra Microsofts supportteam
- Windows XP er nå et veldig enkelt mål for hackere, Windows 10 Update er obligatorisk
- Last ned oppdateringen fra august 2016 med ni sikkerhetsoppdateringer
