Nenhum sistema operacional é à prova de ameaças e todo usuário sabe disso. Há uma batalha contínua entre empresas de software, por um lado, e hackers, por outro. Parece que existem muitas vulnerabilidades que os hackers podem tirar vantagem, especialmente quando se trata do sistema operacional Windows.

No início de agosto, relatamos sobre os processos SilentCleanup do Windows 10, que podem ser usados ​​por invasores para permitir que malware deslize pela porta do UAC no computador dos usuários. Segundo relatos recentes, essa não é a única vulnerabilidade oculta no UAC do Windows.

Um novo desvio do UAC com privilégios elevados foi detectado em todas as versões do Windows. Essa vulnerabilidade se baseia nas variáveis ​​de ambiente do sistema operacional e permite que os hackers controlem os processos filhos e alterem as variáveis ​​de ambiente.

Como essa nova vulnerabilidade do UAC funciona?

Um ambiente é uma coleção de variáveis ​​usadas por processos ou usuários. Essas variáveis ​​podem ser definidas pelos usuários, programas ou pelo próprio sistema operacional Windows e sua principal função é tornar os processos do Windows flexíveis.

Variáveis ​​de ambiente definidas por processos estão disponíveis para esse processo e seus filhos. O ambiente criado pelas variáveis ​​do processo é volátil, existindo apenas enquanto o processo está em execução e desaparece completamente, não deixando nenhum rastro quando o processo termina.

Há também um segundo tipo de variáveis ​​de ambiente, que estão presentes em todo o sistema após cada reinicialização. Eles podem ser definidos nas propriedades do sistema pelos administradores ou diretamente alterando os valores do registro na chave Ambiente.

Os hackers podem usar essas variáveis ​​em seu proveito. Eles podem usar uma cópia maliciosa da pasta C: / Windows e induzir variáveis ​​do sistema a usar os recursos da pasta maliciosa, permitindo infectar o sistema com DLLs maliciosas e evitar serem detectadas pelo antivírus do sistema. A pior parte é que esse comportamento permanece ativo após cada reinicialização.

A expansão da variável de ambiente no Windows permite que um invasor colete informações sobre um sistema antes de um ataque e, eventualmente, assuma o controle completo e persistente do sistema no momento da escolha executando um único comando no nível do usuário ou, alternativamente, alterando uma chave do Registro.

Esse vetor também permite que o código do invasor, na forma de uma DLL, seja carregado em processos legítimos de outros fornecedores ou no próprio sistema operacional e oculte suas ações como ações do processo de destino sem precisar usar técnicas de injeção de código ou manipulações de memória.

A Microsoft não acredita que esta vulnerabilidade constitua uma emergência de segurança, mas, no entanto, a corrigirá no futuro.