Friendoffriends
Nessun sistema operativo è a prova di minacce e ogni utente lo sa. C'è una battaglia continua tra le società di software, da un lato, e gli hacker, dall'altro. Sembra che ci siano molte vulnerabilità di cui gli hacker possono trarre vantaggio, soprattutto quando si tratta del sistema operativo Windows.
All'inizio di agosto, abbiamo segnalato i processi SilentCleanup di Windows 10 che possono essere utilizzati dagli aggressori per consentire al malware di penetrare attraverso il gate UAC nel computer degli utenti. Secondo recenti rapporti, questa non è l'unica vulnerabilità nascosta nell'UAC di Windows.
In tutte le versioni di Windows è stato rilevato un nuovo bypass dell'UAC con privilegi elevati. Questa vulnerabilità è radicata nelle variabili di ambiente del sistema operativo e consente agli hacker di controllare i processi figli e modificare le variabili di ambiente.
Come funziona questa nuova vulnerabilità UAC?
Un ambiente è una raccolta di variabili utilizzate dai processi o dagli utenti. Queste variabili possono essere impostate dagli utenti, dai programmi o dallo stesso sistema operativo Windows e il loro ruolo principale è quello di rendere flessibili i processi di Windows.
Le variabili di ambiente impostate dai processi sono disponibili per quel processo e per i suoi figli. L'ambiente creato dalle variabili di processo è volatile, esiste solo mentre il processo è in esecuzione e scompare completamente, senza lasciare traccia, quando il processo termina.
C'è anche un secondo tipo di variabili d'ambiente, che sono presenti in tutto il sistema dopo ogni riavvio. Possono essere impostati nelle proprietà di sistema dagli amministratori o direttamente modificando i valori di registro nella chiave Ambiente.
Gli hacker possono utilizzare queste variabili a proprio vantaggio. Possono utilizzare una copia della cartella C: / Windows dannosa e indurre le variabili di sistema a utilizzare le risorse dalla cartella dannosa, consentendo loro di infettare il sistema con DLL dannose ed evitare di essere rilevati dall'antivirus del sistema. La parte peggiore è che questo comportamento rimane attivo dopo ogni riavvio.
L'espansione delle variabili di ambiente in Windows consente a un utente malintenzionato di raccogliere informazioni su un sistema prima di un attacco e alla fine assumere il controllo completo e persistente del sistema al momento della scelta eseguendo un singolo comando a livello di utente o, in alternativa, cambiando una chiave di registro.
Questo vettore consente inoltre al codice dell'aggressore sotto forma di DLL di caricarsi in processi legittimi di altri fornitori o del sistema operativo stesso e mascherare le sue azioni come azioni del processo target senza dover utilizzare tecniche di iniezione di codice o manipolazioni della memoria.
Microsoft non pensa che questa vulnerabilità costituisca un'emergenza per la sicurezza, ma la correggerà comunque in futuro.
![Tutti i problemi risolti dall'aggiornamento cumulativo di Windows [maggio 2014]](https://friend-of-friends.com/storage/img/images/all-the-issues-fixed-by-windows-update-rollup-[may-2014].jpg)
