Жодна операційна система не захищена від загроз, і кожен користувач це знає. Існує постійний бій між програмними компаніями, з одного боку, і хакерами, з іншого боку. Схоже, є багато вразливостей, якими можуть скористатися хакери, особливо коли мова йде про ОС Windows.
На початку серпня ми повідомляли про процеси Windows 10 SilentCleanup, які можуть використовуватися зловмисниками, щоб шкідливі програми могли проскакувати ворота UAC на комп’ютер користувачів. За останніми повідомленнями, це не єдина вразливість, в якій ховається UAC для Windows.
У всіх версіях Windows виявлено новий обхід UAC з підвищеними привілеями. Ця вразливість випливає із змінних середовища ОС і дозволяє хакерам контролювати дочірні процеси та змінювати змінні середовища.
Як працює ця нова вразливість UAC?
Середовище - це сукупність змінних, які використовує процесів або користувачів. Ці змінні можуть встановлюватися користувачами, програмами або самою ОС Windows, і їх головна роль полягає в тому, щоб зробити процеси Windows гнучкими.
Змінні середовища, встановлені процесами, доступні для цього процесу та його потомків. Середовище, створене змінними процесу, є мінливим, існує лише під час запуску процесу і повністю зникає, не залишаючи слідів, коли процес закінчується.
Існує також другий тип змінних середовища, які присутні у всій системі після кожного перезавантаження. Вони можуть бути встановлені у властивостях системи адміністраторами або безпосередньо шляхом зміни значень реєстру під ключем Середовище.
Хакери можуть використовувати ці змінні на свою користь. Вони можуть використовувати зловмисні системні змінні для копіювання папок C: / Windows, використовуючи ресурси з зловмисна папка, дозволяючи їм заражати систему шкідливими DLL-файлами та уникати виявлення системою антивірус. Найгірше, що ця поведінка залишається активною після кожного перезавантаження.
Розширення змінної середовища в Windows дозволяє зловмиснику збирати інформацію про систему до атаки і, врешті-решт, приймати повний і постійний контроль системи під час вибору, виконуючи одну команду на рівні користувача, або, альтернативно, змінюючи одну ключ реєстру.
Цей вектор також дозволяє коду зловмисника у вигляді DLL завантажуватися в законні процеси інших постачальників або в саму ОС і маскувати свої дії як дії цільового процесу без необхідності використовувати методи введення коду або використовувати пам’ять маніпуляції.
Корпорація Майкрософт не вважає, що ця уразливість є надзвичайною ситуацією для безпеки, але, тим не менше, вона буде виправлена в майбутньому.
ПОВ’ЯЗАНІ ІСТОРІЇ, ЩО ВИ ПОТРІБНІ ПЕРЕВІРИТИ:
- Хакери надсилають електронні листи користувачам Windows, роблячи вигляд, що вони від служби підтримки Microsoft
- Windows XP тепер дуже проста мета для хакерів, оновлення Windows 10 є обов’язковим
- Завантажте вівторок виправлення серпня 2016 року з дев’ятьма оновленнями безпеки
