Ни одна операционная система не защищена от угроз, и каждый пользователь знает это. Между разработчиками программного обеспечения, с одной стороны, и хакерами, с другой стороны, идет постоянная борьба. Похоже, что хакеры могут воспользоваться многими уязвимостями, особенно когда речь идет об ОС Windows.

В начале августа мы сообщили о процессах SilentCleanup в Windows 10, которые могут использоваться злоумышленниками, чтобы позволить вредоносным программам проникать через шлюз UAC в компьютер пользователя. Согласно последним сообщениям, это не единственная уязвимость, скрывающаяся в UAC Windows.

Во всех версиях Windows обнаружен новый обход UAC с повышенными привилегиями. Эта уязвимость коренится в переменных среды ОС и позволяет хакерам контролировать дочерние процессы и изменять переменные среды.

Как работает эта новая уязвимость UAC?

Среда - это набор переменных, используемых процессами или пользователями. Эти переменные могут быть установлены пользователями, программами или самой ОС Windows, и их основная роль состоит в том, чтобы сделать процессы Windows гибкими.

Переменные среды, установленные процессами, доступны этому процессу и его дочерним элементам. Среда, созданная переменными процесса, является изменчивой, существует только во время работы процесса и полностью исчезает, не оставляя никаких следов по окончании процесса.

Существует также второй тип переменных среды, которые присутствуют во всей системе после каждой перезагрузки. Они могут быть установлены в системных свойствах администраторами или непосредственно путем изменения значений реестра в разделе «Среда».

Хакеры могут использовать эти переменные в своих интересах. Они могут использовать вредоносное копирование папки C: / Windows и обманывать системные переменные, используя ресурсы из вредоносной папки, позволяя им заражать систему вредоносными библиотеками DLL и избегая обнаружения антивирусом системы. Хуже всего то, что это поведение остается активным после каждой перезагрузки.

Расширение переменной среды в Windows позволяет злоумышленнику собирать информацию о системе до атаки и в конечном итоге получить полный и постоянный контроль над системой в любой момент, выполнив одну команду на уровне пользователя или, альтернативно, изменив один ключ реестра.

Этот вектор также позволяет коду злоумышленника в форме DLL загружаться в законные процессы других поставщиков или самой ОС и маскировать его действия как действия целевого процесса, не прибегая к методам внедрения кода или манипуляциям с памятью.

Microsoft не думает, что эта уязвимость представляет собой чрезвычайную ситуацию в области безопасности, но, тем не менее, исправит ее в будущем.