Inget operativsystem är hotsäkert och alla användare vet detta. Där är en ständigt strid mellan programvaruföretag å ena sidan och hackare å andra sidan. Det verkar som om det finns många sårbarheter som hackare kan dra nytta av, särskilt när det gäller Windows OS.
I början av augusti rapporterade vi om Windows 10: s SilentCleanup-processer som kan användas av angripare för att låta skadlig programvara glida igenom UAC-grinden in i användarnas dator. Enligt de senaste rapporterna är detta inte den enda sårbarheten som gömmer sig i Windows UAC.
En ny UAC-förbikoppling med förhöjda behörigheter har upptäckts i alla Windows-versioner. Denna sårbarhet har sitt ursprung i operativsystemets miljövariabler och gör det möjligt för hackare att kontrollera barnprocesser och ändra miljövariabler.
Hur fungerar den här nya UAC-sårbarheten?
En miljö är en samling variabler som används av processer eller användare. Dessa variabler kan ställas in av användare, program eller själva Windows OS och deras huvudsakliga roll är att göra Windows-processerna flexibla.
Miljövariabler som ställts in av processer är tillgängliga för den processen och dess barn. Miljön som skapas av processvariabler är flyktig och existerar bara medan processen körs och försvinner helt och lämnar inget spår alls när processen avslutas.
Det finns också en andra typ av miljövariabler som finns över hela systemet efter varje omstart. De kan ställas in i systemegenskaperna av administratörer eller direkt genom att ändra registervärden under miljönyckeln.
Hackare kan använd dessa variabler till deras fördel. De kan använda en skadlig C: / Windows-mappkopia och lura systemvariabler för att använda resurserna från skadlig mapp, så att de kan infektera systemet med skadliga DLL-filer och undvika att detekteras av systemets antivirus. Det värsta är att detta beteende förblir aktivt efter varje omstart.
Miljövariabelutvidgning i Windows gör det möjligt för en angripare att samla in information om ett system före en attack och så småningom ta fullständig och ihållande kontroll av systemet vid tidpunkten för valet genom att köra ett enda kommandon på användarnivå eller alternativt ändra ett registernyckel.
Med den här vektorn kan angriparens kod i form av en DLL laddas in i legitima processer från andra leverantörer eller själva operativsystemet och maskerade sina handlingar som målprocessens åtgärder utan att behöva använda kodinjektionstekniker eller använda minne manipulationer.
Microsoft tror inte att denna sårbarhet utgör en säkerhetssituation, men kommer ändå att korrigera den i framtiden.
RELATERADE BERÄTTELSER DU MÅSTE KONTROLLERA:
- Hackare skickar e-post till Windows-användare som låtsas vara från Microsofts supportteam
- Windows XP är nu ett mycket enkelt mål för hackare, Windows 10-uppdatering är obligatorisk
- Ladda ner augusti 2016 Patch Tuesday med nio säkerhetsuppdateringar
