Žiadny operačný systém nie je odolný voči hrozbám a každý používateľ to vie. Medzi softvérovými spoločnosťami na jednej strane a hackermi na strane druhej existuje nekonečný boj. Zdá sa, že existuje veľa slabých miest, ktoré môžu hackeri využiť, najmä pokiaľ ide o OS Windows.

Začiatkom augusta sme informovali o procesoch SilentCleanup v systéme Windows 10, ktoré môžu útočníci použiť na to, aby umožnili malware preniknúť cez bránu UAC do počítača používateľov. Podľa posledných správ to nie je jediné skrývanie zraniteľnosti v systéme Windows UAC systému Windows.

Vo všetkých verziách systému Windows bol zistený nový obtok UAC so zvýšenými oprávneniami. Táto zraniteľnosť má korene v premenných prostredia OS a umožňuje hackerom kontrolovať podriadené procesy a meniť premenné prostredia.

Ako táto nová zraniteľnosť UAC funguje?

Prostredie je súbor premenných, ktoré používajú procesy alebo používatelia. Tieto premenné môžu nastavovať používatelia, programy alebo samotný OS Windows a ich hlavnou úlohou je flexibilita procesov Windows.

Premenné prostredia stanovené procesmi sú dostupné tomuto procesu a jeho deťom. Prostredie vytvorené procesnými premennými je prchavé prostredie, ktoré existuje iba počas procesu a úplne zmizne a po ukončení procesu nezostane vôbec žiadne stopy.

Existuje aj druhý typ premenných prostredia, ktoré sú prítomné v celom systéme po každom reštarte. Správcovia ich môžu nastaviť vo vlastnostiach systému alebo priamo zmenou hodnôt registra v kľúči Prostredie.

Hackeri môžu tieto premenné využiť vo svoj prospech. Môžu používať škodlivé kopírovanie priečinkov C: / Windows a trikové systémové premenné, aby využívali prostriedky zo škodlivého priečinka, čo im umožňuje infikovať systém škodlivými dll a vyhnúť sa detekcii antivírusom systému. Najhoršie na tom je, že toto správanie zostáva aktívne aj po každom reštarte.

Rozšírenie premennej prostredia v systéme Windows umožňuje útočníkovi zhromaždiť informácie o systéme pred útokom a prípadne prevziať úplnú a trvalú kontrolu nad systémom v čase výberu spustením jedného príkazu na úrovni používateľa alebo alternatívne zmenou jedného kľúča databázy Registry.

Tento vektor tiež umožňuje útočníkovi kód vo forme DLL načítať sa do legitímnych procesov iných predajcov alebo samotného OS a maskovať svoje akcie ako akcie cieľového procesu bez toho, aby museli používať techniky vkladania kódu alebo manipulácie s pamäťou.

Spoločnosť Microsoft si nemyslí, že táto zraniteľnosť predstavuje bezpečnostnú núdzovú situáciu, napriek tomu ju v budúcnosti opraví.