Nessun sistema operativo è a prova di minaccia e tutti gli utenti lo sanno. C'è una battaglia continua tra le società di software, da un lato, e gli hacker, dall'altro. Sembra che ci siano molte vulnerabilità che gli hacker possono sfruttare, specialmente quando si tratta del sistema operativo Windows.

All'inizio di agosto, abbiamo segnalato i processi SilentCleanup di Windows 10 che possono essere utilizzati dagli aggressori per consentire al malware di scivolare attraverso il gate UAC nel computer degli utenti. Secondo recenti rapporti, questa non è l'unica vulnerabilità che si nasconde nell'UAC di Windows.

Un nuovo bypass UAC con privilegi elevati è stato rilevato in tutte le versioni di Windows. Questa vulnerabilità si basa sulle variabili di ambiente del sistema operativo e consente agli hacker di controllare i processi figlio e modificare le variabili di ambiente.

Come funziona questa nuova vulnerabilità di Controllo dell'account utente?

Un ambiente è una raccolta di variabili utilizzate da processi o utenti. Queste variabili possono essere impostate da utenti, programmi o dal sistema operativo Windows stesso e il loro ruolo principale è rendere flessibili i processi di Windows.

Le variabili d'ambiente impostate dai processi sono disponibili per quel processo e i suoi figli. L'ambiente creato dalle variabili di processo è volatile, esistente solo mentre il processo è in esecuzione e scompare completamente, senza lasciare traccia al termine del processo.

Esiste anche un secondo tipo di variabili d'ambiente, che sono presenti nell'intero sistema dopo ogni riavvio. Possono essere impostati nelle proprietà del sistema dagli amministratori o modificando direttamente i valori di registro nella chiave Ambiente.

Gli hacker possono utilizzare queste variabili a proprio vantaggio. Possono utilizzare una cartella C: / Windows dannosa per copiare e indurre le variabili di sistema a utilizzare le risorse della cartella dannosa, consentendo loro di infettare il sistema con DLL dannose ed evitare di essere rilevati dall'antivirus del sistema. La parte peggiore è che questo comportamento rimane attivo dopo ogni riavvio.

L'espansione della variabile di ambiente in Windows consente a un utente malintenzionato di raccogliere informazioni su un sistema prima di un attacco e, infine, assumere il controllo completo e persistente del sistema al momento della scelta eseguendo un singolo comando a livello di utente o, in alternativa, modificando una chiave di registro.

Questo vettore consente inoltre al codice dell'aggressore sotto forma di una DLL di caricarsi in processi legittimi di altri fornitori o del sistema operativo stesso e di mascherare le sue azioni come azioni del processo di destinazione senza dover utilizzare tecniche di iniezione di codice o manipolazioni della memoria.

Microsoft non ritiene che questa vulnerabilità costituisca un'emergenza di sicurezza, ma lo riparerà comunque in futuro.