Ниједан оперативни систем не представља претњу и сваки корисник то зна. Стално се води битка између софтверских компанија, с једне, и хакера, с друге стране. Изгледа да многи ханкери могу искористити предности, посебно када је реч о Виндовс ОС-у.

Почетком августа извештавали смо о СилентЦлеануп процесима Виндовса 10 који нападачи могу да користе како би злонамерни софтвер могао да прође кроз УАЦ капију у рачунар корисника. Према недавним извештајима, ово није једина рањивост која се крије у УАЦ-у Виндовс.

У свим верзијама оперативног система Виндовс откривен је нови УАЦ-ов бајпас са повећаним привилегијама. Ова рањивост потиче од променљивих у окружењу ОС-а и омогућава хакерима да контролишу дечије процесе и мењају променљиве окружења.

Како функционише нова рањивост УАЦ-а?

Окружење је збирка променљивих које користе процеси или корисници. Ове променљиве могу да поставе корисници, програми или сам Виндовс ОС и њихова главна улога је да Виндовс процесе постану флексибилним.

Променљиве средине које процеси постављају доступни су том процесу и његовој деци. Окружење створено од променљивих процеса је нестабилно и постоји само док се процес покреће и потпуно нестаје, не остављајући никаквог трага када се процес заврши.

Постоји и друга врста променљивих окружења, која су присутна у целом систему након сваког поновног покретања. Администратор их може поставити у својства система или директно променом вредности регистра под типком Енвиронмент.

Хакери могу да користе ове променљиве у своју корист. Они могу да користе злонамерни Ц: / Виндовс копију мапе и увежбавају системске променљиве да користе ресурсе из злонамерне мапе, омогућавајући им да заразе систем штетним ДЛЛ датотекама и избегну да их открију антивируси система. Најгори део је да ово понашање остаје активно након сваког поновног покретања.

Проширење променљиве околине у Виндовс-у омогућава нападачу да прикупи информације о систему пре напада и на крају преузме потпуну и упорну контролу над системом у време избора тако што ће покренути једну наредбу на нивоу корисника или промену једног регистрацијског кључа.

Овај вектор такође омогућава нападачевом коду у облику ДЛЛ-а да се учита у легитимне процесе других добављача или самог ОС-а и маскира његове акције у радње циљног процеса без употребе техника убризгавања кода или коришћења манипулација меморијом.

Мицрософт не мисли да ова рањивост представља сигурносни случај, али ће је убудуће закрпати.