Nei viena operacinė sistema nėra apsaugota nuo grėsmės ir kiekvienas vartotojas tai žino. Tarp programinės įrangos įmonių ir, kita vertus, įsilaužėlių vyksta nuolatinė kova. Atrodo, kad yra daug pažeidžiamumų, kuriais įsilaužėliai gali pasinaudoti, ypač kai kalbama apie „Windows“ OS.

Rugpjūčio pradžioje mes pranešėme apie „Windows 10“ „SilentCleanup“ procesus, kuriuos gali naudoti užpuolikai, kad kenkėjiškos programos galėtų patekti per UAC vartus į vartotojo kompiuterį. Remiantis naujausiais pranešimais, tai nėra vienintelis pažeidžiamumas, slepiamas „Windows“ UAC.

Visose „Windows“ versijose aptiktas naujas UAC aplinkkelis su padidintomis privilegijomis. Šis pažeidžiamumas yra OS aplinkos kintamieji ir leidžia įsilaužėliams kontroliuoti vaiko procesus ir keisti aplinkos kintamuosius.

Kaip veikia šis naujas UAC pažeidžiamumas?

Aplinka yra kintamųjų, kuriuos naudoja procesai ar vartotojai, visuma. Šiuos kintamuosius gali nustatyti vartotojai, programos arba pati „Windows“ OS, o pagrindinis jų vaidmuo yra padaryti „Windows“ procesus lanksčius.

Tam procesui ir jo vaikams yra prieinami procesų nustatyti aplinkos kintamieji. Proceso kintamųjų sukurta aplinka yra nepastovi, egzistuoja tik vykstant procesui ir visiškai išnyksta, nepalikdama jokių pėdsakų, kai procesas baigiasi.

Taip pat yra antrojo tipo aplinkos kintamieji, kurie yra visoje sistemoje po kiekvieno paleidimo. Administratoriai jas gali nustatyti sistemos ypatybėse arba tiesiogiai, pakeisdami aplinkos rakto registro reikšmes.

Piratai gali naudoti šiuos kintamuosius savo naudai. Jie gali naudoti kenkėjišką C: / Windows aplanko kopiją ir apgauti sistemos kintamuosius naudodamiesi kenkėjiško aplanko ištekliais, leisdami užkrėsti sistemą kenkėjiškais DLL ir išvengdami sistemos antivirusinės aptikimo. Blogiausia, kad toks elgesys išlieka aktyvus po kiekvieno pakartotinio paleidimo.

Aplinkos kintamasis išplėtimas sistemoje „Windows“ leidžia užpuolikui rinkti informaciją apie sistemą prieš ataką ir galiausiai pasirinktą laiką visiškai ir nuolat valdyti sistemą, paleidžiant vieną vartotojo lygio komandą arba pakeitus vieną registro raktą.

Šis vektorius taip pat leidžia užpuoliko kodui DLL formatu įkelti į teisėtus kitų pardavėjų ar pačios OS procesus ir užmaskuoti jo veiksmus kaip tikslinio proceso veiksmus, nenaudojant kodo įpurškimo metodų ar atliekant manipuliacijas atmintimi.

„Microsoft“ nemano, kad šis pažeidžiamumas yra saugumo kritinė padėtis, tačiau vis dėlto ateityje tai pataisys.