Friendoffriends
Geen enkel besturingssysteem is bestand tegen bedreigingen en elke gebruiker weet dit. Er is een voortdurende strijd tussen softwarebedrijven enerzijds en hackers anderzijds. Het lijkt erop dat er veel kwetsbaarheden zijn waar hackers gebruik van kunnen maken, vooral als het gaat om het Windows-besturingssysteem.
Begin augustus berichtten we over de SilentCleanup-processen van Windows 10 die door aanvallers kunnen worden gebruikt om malware door de UAC-poort naar de computer van gebruikers te laten glippen. Volgens recente rapporten is dit niet de enige kwetsbaarheid die verborgen zit in de UAC van Windows.
Een nieuwe UAC-bypass met verhoogde bevoegdheden is gedetecteerd in alle Windows-versies. Deze kwetsbaarheid vindt zijn oorsprong in de omgevingsvariabelen van het besturingssysteem en stelt hackers in staat onderliggende processen te controleren en omgevingsvariabelen te wijzigen.
Hoe werkt deze nieuwe UAC-kwetsbaarheid??
Een omgeving is een verzameling variabelen die door processen of gebruikers worden gebruikt. Deze variabelen kunnen worden ingesteld door gebruikers, programma's of het Windows-besturingssysteem zelf en hun belangrijkste rol is om de Windows-processen flexibel te maken.
Omgevingsvariabelen die door processen worden ingesteld, zijn beschikbaar voor dat proces en zijn onderliggende elementen. De omgeving gecreëerd door procesvariabelen is vluchtig, bestaat alleen terwijl het proces loopt, en verdwijnt volledig en laat helemaal geen spoor achter wanneer het proces eindigt.
Er is ook een tweede type omgevingsvariabelen, die na elke herstart in het hele systeem aanwezig zijn. Ze kunnen door beheerders in de systeemeigenschappen worden ingesteld of rechtstreeks door de registerwaarden onder de omgevingssleutel te wijzigen.
Hackers kunnen deze variabelen in hun voordeel gebruiken. Ze kunnen een kwaadaardige C: / Windows-map kopiëren en systeemvariabelen misleiden om de bronnen uit de kwaadaardige map te gebruiken, waardoor ze het systeem kunnen infecteren met kwaadaardige DLL's en kunnen voorkomen dat ze worden gedetecteerd door de antivirus van het systeem. Het ergste is dat dit gedrag actief blijft na elke herstart.
Met de uitbreiding van omgevingsvariabelen in Windows kan een aanvaller informatie over een systeem verzamelen voorafgaand aan een aanval en uiteindelijk volledige en blijvende controle over het systeem krijgen op het moment van keuze door een enkele opdracht op gebruikersniveau uit te voeren of door één registersleutel te wijzigen.
Met deze vector kan de code van de aanvaller in de vorm van een DLL ook worden geladen in legitieme processen van andere leveranciers of het besturingssysteem zelf en de acties ervan maskeren als de acties van het doelproces zonder code-injectietechnieken of geheugenmanipulaties te hoeven gebruiken..
Microsoft denkt niet dat deze kwetsbaarheid een beveiligingsnoodgeval vormt, maar zal het in de toekomst toch patchen.
