Žádný operační systém není odolný proti hrozbám a každý uživatel to ví. Mezi softwarovými společnostmi na jedné straně a hackery na straně druhé existuje nekonečná bitva. Zdá se, že existuje mnoho zranitelných míst, které mohou hackeři využít, zejména pokud jde o operační systém Windows.

Začátkem srpna jsme informovali o procesech SilentCleanup systému Windows 10, které mohou útočníci použít k tomu, aby malware umožnil proklouznout bránou UAC do počítače uživatelů. Podle posledních zpráv to není jediné ukrytí zranitelnosti v UAC systému Windows.

Ve všech verzích Windows byl detekován nový obtok UAC se zvýšenými oprávněními. Tato chyba zabezpečení má kořeny v proměnných prostředí operačního systému a umožňuje hackerům kontrolovat podřízené procesy a měnit proměnné prostředí.

Jak tato nová zranitelnost UAC funguje?

Prostředí je soubor proměnných používaných procesy nebo uživateli. Tyto proměnné mohou nastavit uživatelé, programy nebo samotný operační systém Windows a jejich hlavní rolí je zvyšování flexibility procesů systému Windows.

Proměnné prostředí nastavené procesy jsou k dispozici tomuto procesu a jeho dětem. Prostředí vytvořené procesními proměnnými je nestálé, existující pouze během procesu a zcela zmizí a po ukončení procesu nezůstane vůbec žádné stopy.

Existuje také druhý typ proměnných prostředí, které jsou přítomny v celém systému po každém restartu. Mohou být nastaveny ve vlastnostech systému správci nebo přímo změnou hodnot registru v klíči Prostředí.

Hackeři mohou tyto proměnné využít ve svůj prospěch. Mohou použít škodlivou kopii složky C: / Windows a podvádět systémové proměnné, aby využívaly prostředky ze škodlivé složky, což jim umožňuje infikovat systém škodlivými dll a vyhnout se detekování antivirem systému. Nejhorší je, že toto chování zůstává aktivní i po každém restartu.

Rozšíření proměnné prostředí v systému Windows umožňuje útočníkovi shromáždit informace o systému před útokem a nakonec převzít úplnou a trvalou kontrolu nad systémem v okamžiku výběru spuštěním jediného příkazu na úrovni uživatele nebo alternativně změnou jednoho klíče registru.

Tento vektor také umožňuje útočníkovi kód ve formě DLL načíst do legitimních procesů jiných prodejců nebo samotného OS a maskovat jeho akce jako akce cílového procesu, aniž by museli používat techniky vkládání kódu nebo manipulace s pamětí.

Společnost Microsoft si nemyslí, že tato chyba zabezpečení představuje nouzovou situaci v oblasti zabezpečení, ale přesto ji v budoucnu opraví.