Egyetlen operációs rendszer sem fenyegetésbiztos, és ezt minden felhasználó tudja. Folyamatosan zajlik egyrészt a szoftvercégek, másrészről a hackerek. Úgy tűnik, hogy sok olyan sebezhetőséget élvezhet a hackerek, amelyek kihasználhatják, különösen a Windows operációs rendszer esetében.

Augusztus elején beszámoltunk a Windows 10 SilentCleanup folyamatairól, amelyeket a támadók használhatnak annak lehetővé tétele érdekében, hogy a rosszindulatú programok átjuthassanak az UAC-kapun keresztül a felhasználók számítógépébe. A legfrissebb jelentések szerint ez nem az egyetlen biztonsági rés, amely a Windows UAC-ban rejtőzik.

Az összes Windows változatban új, magasabb szintű jogosultságokkal rendelkező UAC bypass-ot észleltek. Ez a sebezhetőség az operációs rendszer környezeti változóiban gyökerezik, és lehetővé teszi a hackerek számára, hogy ellenőrizzék a gyermekfolyamatokat és megváltoztassák a környezeti változókat.

Hogyan működik ez az új UAC biztonsági rés?

A környezet a folyamatok vagy a felhasználók által használt változók gyűjteménye. Ezeket a változókat a felhasználók, a programok vagy a Windows operációs rendszer állíthatja be, és fő feladata a Windows folyamatainak rugalmassá tétele.

A folyamatok által meghatározott környezeti változók elérhetők mind a folyamat, mind annak gyermekei számára. A folyamatváltozók által létrehozott környezet illékony, csak a folyamat futásakor létezik, és teljesen eltűnik, és a folyamat végén semmilyen nyomot nem hagy.

Van egy második típusú környezeti változó is, amelyek minden újraindítás után az egész rendszeren megtalálhatók. A rendszertulajdonosokban beállíthatják azokat a rendszergazdák, vagy közvetlenül a környezeti kulcs alatt lévő regisztrációs értékek megváltoztatásával.

A hackerek ezeket a változókat előnyeikre használhatják. Használhatnak rosszindulatú C: / Windows mappát, és becsaphatják a rendszerváltozókat a rosszindulatú mappából származó erőforrások felhasználásához, lehetővé téve a fertőző rendszert rosszindulatú DLL-ekkel, és elkerülve a rendszer antivírusának észlelését. A legrosszabb az, hogy ez a viselkedés aktív marad minden újraindítás után.

A Windows környezeti változóinak kibővítése lehetővé teszi a támadó számára, hogy a támadás előtt információkat gyűjtsön egy rendszerről, és végül a választott időpontban teljes és tartósan ellenőrizze a rendszert egyetlen felhasználói szintű parancs futtatásával, vagy alternatív módon megváltoztasson egy rendszerleíró kulcsot.

Ez a vektor lehetővé teszi a támadó kódját DLL formájában, hogy betöltse más gyártók vagy maga az operációs rendszer legitim folyamataiba, és a műveleteket a célfolyamat műveleteként árnyékolja el anélkül, hogy kód-befecskendezési technikákat kellene használnia vagy memória-manipulációkat kellene végrehajtania.

A Microsoft nem gondolja, hogy ez a sebezhetőség biztonsági veszélyhelyzetet jelent, ám ennek ellenére javul a jövőben.