Κανένα λειτουργικό σύστημα δεν είναι απειλητικό και κάθε χρήστης το γνωρίζει αυτό. Υπάρχει μια διαρκής μάχη μεταξύ των εταιρειών λογισμικού, αφενός, και των χάκερ, αφετέρου. Φαίνεται ότι υπάρχουν πολλά τρωτά σημεία που μπορούν να εκμεταλλευτούν οι χάκερ, ειδικά όταν πρόκειται για το λειτουργικό σύστημα των Windows.

Στις αρχές Αυγούστου αναφέραμε τις διεργασίες SilentCleanup των Windows 10, οι οποίες μπορούν να χρησιμοποιηθούν από τους εισβολείς για να επιτρέψουν το κακόβουλο λογισμικό να γλιστρήσει μέσω της πύλης UAC στον υπολογιστή των χρηστών. Σύμφωνα με πρόσφατες αναφορές, αυτό δεν είναι το μοναδικό τρωτό σημείο που κρύβεται στο Windows UAC.

Έχει εντοπιστεί μια νέα παράκαμψη UAC με αυξημένα δικαιώματα σε όλες τις εκδόσεις των Windows. Αυτή η ρίζα ευπάθειας στις μεταβλητές περιβάλλοντος του λειτουργικού συστήματος και επιτρέπει στους χάκερς να ελέγχουν τις παιδικές διαδικασίες και να αλλάζουν μεταβλητές περιβάλλοντος.

Πώς λειτουργεί αυτό το νέο ευπάθεια UAC;

Ένα περιβάλλον είναι μια συλλογή μεταβλητών που χρησιμοποιούνται από διεργασίες ή χρήστες. Αυτές οι μεταβλητές μπορούν να οριστούν από τους χρήστες, τα προγράμματα ή το ίδιο το λειτουργικό σύστημα Windows και ο κύριος ρόλος τους είναι να κάνουν τις διαδικασίες Windows ευέλικτες.

Οι μεταβλητές περιβάλλοντος που ορίζονται από διαδικασίες είναι διαθέσιμες σε αυτή τη διαδικασία και στα παιδιά της. Το περιβάλλον που δημιουργείται από τις μεταβλητές της διαδικασίας είναι μια μεταβλητή που υπάρχει μόνο όταν η διαδικασία εκτελείται και εξαφανίζεται τελείως, χωρίς να αφήνει κανένα ίχνος, όταν τελειώνει η διαδικασία.

Υπάρχει επίσης ένας δεύτερος τύπος μεταβλητών περιβάλλοντος, οι οποίοι υπάρχουν σε ολόκληρο το σύστημα μετά από κάθε επανεκκίνηση. Μπορούν να οριστούν στις ιδιότητες του συστήματος από τους διαχειριστές ή απευθείας αλλάζοντας τις τιμές μητρώου κάτω από το κλειδί περιβάλλοντος.

Οι χάκερ μπορούν να χρησιμοποιήσουν αυτές τις μεταβλητές προς όφελός τους. Μπορούν να χρησιμοποιήσουν μια κακόβουλη αντιγραφή φακέλου C: / Windows και να εξαπατήσουν τις μεταβλητές του συστήματος χρησιμοποιώντας τους πόρους από τον κακόβουλο φάκελο, επιτρέποντάς τους να μολύνουν το σύστημα με κακόβουλα DLL και να αποφεύγουν να ανιχνεύονται από το antivirus του συστήματος. Το χειρότερο είναι ότι αυτή η συμπεριφορά παραμένει ενεργή μετά από κάθε επανεκκίνηση.

Η επέκταση μεταβλητής περιβάλλοντος στα Windows επιτρέπει σε έναν εισβολέα να συλλέξει πληροφορίες σχετικά με ένα σύστημα πριν από μια επίθεση και τελικά να αναλάβει πλήρη και συνεχή έλεγχο του συστήματος τη στιγμή της επιλογής, εκτελώντας μια μόνο εντολή χρήστη ή εναλλακτικά αλλάζοντας ένα κλειδί μητρώου.

Αυτό το διάνυσμα επιτρέπει επίσης στον κώδικα του εισβολέα με τη μορφή ενός DLL να φορτώνεται σε νόμιμες διαδικασίες άλλων προμηθευτών ή του ίδιου του λειτουργικού συστήματος και να μεταμφιέσει τις ενέργειές του ως δράσεις της διαδικασίας στόχου χωρίς να χρειάζεται να χρησιμοποιεί τεχνικές έγχυσης κώδικα ή να χρησιμοποιεί χειρισμούς μνήμης.

Η Microsoft δεν πιστεύει ότι αυτή η ευπάθεια αποτελεί επείγουσα κατάσταση ασφαλείας, αλλά θα το διορθώσει στο μέλλον.