Geen enkel besturingssysteem is bestand tegen bedreigingen en elke gebruiker weet dit. Er is een voortdurende strijd tussen softwarebedrijven enerzijds en hackers anderzijds. Het lijkt erop dat er veel kwetsbaarheden zijn waar hackers van kunnen profiteren, vooral als het gaat om het Windows-besturingssysteem.

Begin augustus berichtten we over de SilentCleanup-processen van Windows 10 die door aanvallers kunnen worden gebruikt om malware door de UAC-poort in de computer van gebruikers te laten glippen. Volgens recente rapporten is dit niet de enige kwetsbaarheid die zich in de UAC van Windows verbergt.

Een nieuwe UAC-bypass met verhoogde bevoegdheden is gedetecteerd in alle Windows-versies. Dit beveiligingslek wortelt in de omgevingsvariabelen van het besturingssysteem en stelt hackers in staat om kindprocessen te besturen en omgevingsvariabelen te wijzigen.

Hoe werkt deze nieuwe UAC-kwetsbaarheid?

Een omgeving is een verzameling variabelen die worden gebruikt door processen of gebruikers. Deze variabelen kunnen worden ingesteld door gebruikers, programma's of het Windows-besturingssysteem zelf en hun belangrijkste rol is om de Windows-processen flexibel te maken.

Omgevingsvariabelen ingesteld door processen zijn beschikbaar voor dat proces en zijn kinderen. De door procesvariabelen gecreëerde omgeving is vluchtig en bestaat alleen tijdens het proces en verdwijnt volledig en laat geen sporen na wanneer het proces eindigt.

Er is ook een tweede type omgevingsvariabelen, die na elke herstart in het hele systeem aanwezig zijn. Ze kunnen worden ingesteld in de systeemeigenschappen door beheerders, of rechtstreeks door registerwaarden te wijzigen onder de sleutel Omgeving.

Hackers kunnen deze variabelen in hun voordeel gebruiken. Ze kunnen een kwaadwillende C: / Windows-map kopiëren en systeemvariabelen misleiden om de bronnen van de schadelijke map te gebruiken, waardoor ze het systeem kunnen infecteren met kwaadaardige DLL's en voorkomen dat ze worden gedetecteerd door het antivirusprogramma van het systeem. Het ergste is dat dit gedrag actief blijft na elke herstart.

Door de uitbreiding van omgevingsvariabelen in Windows kan een aanvaller voorafgaand aan een aanval informatie over een systeem verzamelen en uiteindelijk op het moment van zijn keuze volledige en blijvende controle over het systeem krijgen door een enkele opdracht op gebruikersniveau uit te voeren of een registersleutel te wijzigen.

Met deze vector kan ook de code van de aanvaller in de vorm van een DLL worden geladen in legitieme processen van andere leveranciers of het besturingssysteem zelf en zijn acties maskeren als acties van het doelproces zonder code-injectietechnieken te gebruiken of geheugenmanipulaties te gebruiken.

Microsoft denkt niet dat dit beveiligingslek een beveiligingsgeval vormt, maar zal het in de toekomst toch herstellen.