Нито една операционна система не е заплаха и всеки потребител знае това. Има непрекъсната битка между софтуерните компании, от една страна, и хакерите, от друга. Изглежда, че има много уязвимости, които хакерите могат да се възползват, особено когато става въпрос за операционната система Windows.

В началото на август съобщихме за процесите SilentCleanup на Windows 10, които могат да бъдат използвани от нападателите, за да позволят на злонамерен софтуер да се промъкне през портата на UAC в компютъра на потребителите. Според последните доклади това не е единствената уязвимост, криеща се в UAC на Windows.

Във всички версии на Windows е открит нов UAC байпас с повишени привилегии. Тази уязвимост корени в променливите на средата на ОС и позволява на хакерите да контролират дъщерните процеси и да променят променливите на средата.

Как работи тази нова уязвимост на UAC?

Една среда е съвкупност от променливи, използвани от процеси или потребители. Тези променливи могат да бъдат зададени от потребители, програми или самата операционна система на Windows и тяхната основна роля е да направят процесите в Windows гъвкави.

Променливите от средата, зададени от процесите, са достъпни за този процес и неговите деца. Средата, създадена от променливи на процеса, е променлива, съществува само докато процесът работи и изчезва напълно, без да оставя следа, когато процесът приключи.

Съществува и втори тип променливи на средата, които присъстват в цялата система след всяко рестартиране. Те могат да бъдат зададени в системните свойства от администраторите или директно чрез промяна на стойностите на регистъра под клавиша Environment.

Хакерите могат да използват тези променливи в своя полза. Те могат да използват злонамерено копие на папки C: / Windows и да излъжат системни променливи за използване на ресурсите от злонамерената папка, позволявайки им да заразят системата със злонамерени DLL файлове и да избегнат откриването им от антивируса на системата. Най-лошото е, че това поведение остава активно след всяко рестартиране.

Разширяването на променливата на околната среда в Windows позволява на атакуващия да събира информация за система преди атака и в крайна сметка да поеме пълен и постоянен контрол върху системата по време на избор, като пусне една команда на ниво потребител или алтернативно, като промени един регистър ключ.

Този вектор също позволява на кода на нападателя под формата на DLL да се зарежда в законни процеси на други доставчици или на самата операционна система и да маскира действията му като действия на целевия процес, без да се налага използването на техники за инжектиране на кода или използване на манипулации с памет.

Microsoft не смята, че тази уязвимост представлява опасност за сигурността, но въпреки това ще я поправи в бъдеще.