Nenhum sistema operacional é à prova de ameaças e todos os usuários sabem disso. Há um batalha contínua entre empresas de software, por um lado, e hackers, por outro. Parece que existem muitas vulnerabilidades das quais os hackers podem tirar proveito, especialmente quando se trata do sistema operacional Windows.
No início de agosto, relatamos sobre os processos SilentCleanup do Windows 10 que podem ser usados por invasores para permitir que o malware passe o portão UAC no computador dos usuários. De acordo com relatórios recentes, esta não é a única vulnerabilidade escondida em UAC do Windows.
Um novo desvio do UAC com privilégios elevados foi detectado em todas as versões do Windows. Essa vulnerabilidade tem raízes nas variáveis de ambiente do sistema operacional e permite que os hackers controlem os processos filhos e alterem as variáveis de ambiente.
Como funciona essa nova vulnerabilidade do UAC?
Um ambiente é uma coleção de variáveis usadas por processos ou usuários. Essas variáveis podem ser definidas por usuários, programas ou pelo próprio sistema operacional Windows e sua principal função é tornar os processos do Windows flexíveis.
Variáveis de ambiente definidas por processos estão disponíveis para esse processo e seus filhos. O ambiente criado pelas variáveis do processo é volátil, existindo apenas enquanto o processo está em execução, e desaparece completamente, não deixando nenhum vestígio, quando o processo termina.
Também existe um segundo tipo de variáveis de ambiente, que estão presentes em todo o sistema após cada reinicialização. Eles podem ser definidos nas propriedades do sistema pelos administradores ou diretamente alterando os valores do registro na chave Environment.
Hackers podem use essas variáveis para sua vantagem. Eles podem usar uma cópia da pasta C: / Windows maliciosa e enganar as variáveis do sistema para que usem os recursos do pasta maliciosa, permitindo que infectem o sistema com DLLs maliciosas e evitem ser detectados pelo sistema antivírus. A pior parte é que esse comportamento permanece ativo após cada reinicialização.
A expansão da variável de ambiente no Windows permite que um invasor reúna informações sobre um sistema antes de um ataque e, eventualmente, tome controle completo e persistente do sistema no momento da escolha, executando um único comando de nível de usuário ou, alternativamente, alterando um Chave do registro.
Este vetor também permite que o código do invasor na forma de uma DLL seja carregado em processos legítimos de outros fornecedores ou no próprio sistema operacional e mascarar suas ações como ações do processo de destino sem ter que usar técnicas de injeção de código ou usar memória manipulações.
A Microsoft não acredita que essa vulnerabilidade constitua uma emergência de segurança, mas, no entanto, corrigirá isso no futuro.
HISTÓRIAS RELACIONADAS QUE VOCÊ PRECISA VERIFICAR:
- Hackers enviam e-mails para usuários do Windows fingindo ser da equipe de suporte da Microsoft
- O Windows XP agora é um alvo muito fácil para hackers, a atualização do Windows 10 é obrigatória
- Baixe o Patch Tuesday de agosto de 2016 com nove atualizações de segurança
