Жодна операційна система не є загрозою і кожен користувач знає це. Іде постійний бій між програмними компаніями, з одного боку, і хакерами, з іншого. Схоже, існує багато вразливостей, якими хакери можуть скористатися, особливо якщо мова йде про ОС Windows.

На початку серпня ми повідомили про процеси SilentCleanup Windows 10, які зловмисники можуть використовувати, щоб зловмисне програмне забезпечення проскочило через ворота UAC на комп'ютер користувачів. Згідно з останніми повідомленнями, це не єдина вразливість, що приховується в UAC Windows.

У всіх версіях Windows виявлено новий обхід UAC з підвищеними привілеями. Ця вразливість кореняється в змінних оточення ОС і дозволяє хакерам контролювати дочірні процеси та змінювати змінні середовища.

Як працює ця нова вразливість UAC?

Середовище - це сукупність змінних, використовуваних процесами або користувачами. Ці змінні можуть бути встановлені користувачами, програмами або самою ОС Windows, і їх головна роль полягає в тому, щоб зробити процеси Windows гнучкими.

Змінні середовища, встановлені процесами, доступні цьому процесу та його дітям. Середовище, створене змінними процесу, є мінливим, існує лише тоді, коли процес працює, і повністю зникає, не залишаючи слідів, коли процес закінчується.

Існує також другий тип змінних середовища, які присутні у всій системі після кожного перезавантаження. Вони можуть встановлюватися у властивості системи адміністраторами або безпосередньо шляхом зміни значень реєстру під клавішем Середовище.

Хакери можуть використовувати ці змінні на свою користь. Вони можуть використовувати шкідливі копії папок C: / Windows і вводити системні змінні у використання ресурсів із шкідливої ​​папки, дозволяючи їм заражати систему шкідливими DLL-файлами та уникати виявлення антивірусом системи. Найгірше, що така поведінка залишається активною після кожного перезавантаження.

Розширення змінної середовища в Windows дозволяє зловмиснику збирати інформацію про систему до атаки і врешті-решт взяти повний і стійкий контроль над системою в момент вибору за допомогою єдиної команди рівня користувача або, змінивши один ключ реєстру.

Цей вектор також дозволяє коду зловмисника у вигляді DLL завантажуватися в законні процеси інших постачальників або самої ОС та маскувати його дії як дії цільового процесу без необхідності використання методів введення коду або використання маніпуляцій пам'яттю.

Корпорація Майкрософт не вважає, що ця вразливість не є надзвичайною ситуацією для безпеки, але все-таки буде виправлена ​​в майбутньому.