Friendoffriends
Intet operativsystem er trusselsikkert, og enhver bruger ved dette. Der er en evig kamp mellem softwarevirksomheder på den ene side og hackere på den anden side. Det ser ud til, at der er mange sårbarheder, som hackere kan drage fordel af, især når det kommer til Windows OS.
I begyndelsen af august rapporterede vi om Windows 10s SilentCleanup-processer, som kan bruges af angribere til at tillade, at malware glider gennem UAC-porten til brugernes computer. Ifølge nylige rapporter er dette ikke den eneste sårbarhed, der gemmer sig i Windows 'UAC.
En ny UAC-bypass med forhøjede privilegier er blevet opdaget i alle Windows-versioner. Denne sårbarhed stammer fra OS-miljøvariablerne og giver hackere mulighed for at kontrollere underordnede processer og ændre miljøvariabler.
Hvordan fungerer denne nye UAC-sårbarhed?
Et miljø er en samling af variabler, der bruges af processer eller brugere. Disse variabler kan indstilles af brugere, programmer eller selve Windows OS, og deres vigtigste rolle er at gøre Windows-processerne fleksible.
Miljøvariabler indstillet af processer er tilgængelige for denne proces og dens børn. Miljøet skabt af procesvariabler er flygtigt og eksisterer kun, mens processen kører, og forsvinder fuldstændigt og efterlader intet spor, når processen slutter.
Der er også en anden type miljøvariabler, der findes over hele systemet efter hver genstart. De kan indstilles i systemegenskaberne af administratorer eller direkte ved at ændre registerværdier under miljønøglen.
Hackere kan bruge disse variabler til deres fordel. De kan bruge en ondsindet C: / Windows-mappekopi og narre systemvariabler til at bruge ressourcerne fra den ondsindede mappe, så de kan inficere systemet med ondsindede DLL'er og undgå at blive opdaget af systemets antivirus. Den værste del er, at denne adfærd forbliver aktiv efter hver genstart.
Udvidelse af miljøvariabler i Windows giver en hacker mulighed for at indsamle oplysninger om et system forud for et angreb og til sidst tage fuldstændig og vedvarende kontrol over systemet på det valgte tidspunkt ved at køre en enkelt kommando på brugerniveau eller alternativt ændre en registreringsnøgle.
Denne vektor lader også angriberens kode i form af en DLL indlæses i legitime processer fra andre leverandører eller selve operativsystemet og maskerer dens handlinger som målprocessens handlinger uden at skulle bruge kodeinjektionsteknikker eller bruge hukommelsesmanipulationer.
Microsoft mener ikke, at denne sårbarhed udgør en sikkerhedsnødsituation, men vil alligevel lappe den i fremtiden.
