Nijedan operativni sustav nije zaštićen od prijetnji i to zna svaki korisnik. Stalno se vodi bitka između softverskih kompanija, s jedne, i hakera, s druge strane. Čini se da mnogi hankeri mogu iskoristiti prednosti, pogotovo kada je riječ o Windows OS-u.

Početkom kolovoza izvijestili smo o SilentCleanup procesima Windowsa 10 koji napadači mogu koristiti kako bi zlonamjerni softver mogao da prođe kroz UAC vrata u korisničko računalo. Prema nedavnim izvještajima, ovo nije jedina ranjivost koja se krije u UAC-u Windowsa.

U svim verzijama sustava Windows otkriven je novi UAC zaobilaznik s povišenim povlasticama. Ova ranjivost ukorijenjena je u varijabli okoline OS-a i omogućuje hakerima kontrolu nad podređenim procesima i promjenu varijabli okoline.

Kako djeluje ova nova ranjivost UAC-a?

Okolina je skup varijabli koje koriste procesi ili korisnici. Te varijable mogu postaviti korisnici, programi ili sam Windows OS, a njihova glavna uloga je da Windows procese postane fleksibilna.

Promjenjive okoline koje postavljaju procesi dostupni su tom procesu i njegovoj djeci. Okružje stvoreno od varijabli procesa je nestabilno i postoji samo dok se proces pokreće i potpuno nestaje, ne ostavljajući nikakva traga kada se proces završi.

Postoji i druga vrsta varijabli okoline, koje su prisutne u cijelom sustavu nakon svakog ponovnog pokretanja. Administratori ih mogu postaviti u svojstva sustava ili izravno promjenom vrijednosti registra pod tipkom Environment.

Hakeri mogu koristiti ove varijable u svoju korist. Oni mogu koristiti zlonamjernu kopiju mape C: / Windows i prevariti sistemske varijable da koriste resurse iz zlonamjerne mape, omogućujući im da zaraze sustav zloćudnim DLL datotekama i izbjegnu da ih otkriju antivirusi sustava. Najgori dio je da ovo ponašanje ostaje aktivno nakon svakog ponovnog pokretanja.

Proširenje varijable okoline u sustavu Windows omogućuje napadaču da prikupi informacije o sustavu prije napada i na kraju preuzme potpunu i upornu kontrolu nad sustavom u vrijeme izbora pokretanjem jedne naredbe na razini korisnika ili alternativom, mijenjanjem registracijskog ključa.

Ovaj vektor omogućuje i napadačevom šifri u obliku DLL-a da se učita u zakonite procese drugih dobavljača ili samog OS-a i maskira svoje radnje u postupke ciljnog procesa bez upotrebe tehnika ubrizgavanja koda ili korištenja manipulacija memorijom.

Microsoft ne misli da ta ranjivost predstavlja sigurnosnu nuždu, ali da će je ubuduće zakrpiti.