Không có hệ điều hành nào là bằng chứng đe dọa và mọi người dùng đều biết điều này. Có một cuộc chiến không ngừng giữa các công ty phần mềm, một mặt và tin tặc, mặt khác. Dường như có rất nhiều lỗ hổng mà tin tặc có thể lợi dụng, đặc biệt là khi nói đến HĐH Windows.

Vào đầu tháng 8, chúng tôi đã báo cáo về các quy trình SilentCleanup của Windows 10 có thể được những kẻ tấn công sử dụng để cho phép phần mềm độc hại lọt qua cổng UAC vào máy tính của người dùng. Theo các báo cáo gần đây, đây không phải là lỗ hổng duy nhất ẩn trong UAC của Windows.

Một bỏ qua UAC mới với các đặc quyền nâng cao đã được phát hiện trong tất cả các phiên bản Windows. Lỗ hổng này bắt nguồn từ các biến môi trường của HĐH và cho phép tin tặc kiểm soát các tiến trình con và thay đổi các biến môi trường.

Lỗ hổng UAC mới này hoạt động như thế nào?

Một môi trường là một tập hợp các biến được sử dụng bởi các quá trình hoặc người dùng. Các biến này có thể được đặt bởi người dùng, chương trình hoặc chính HĐH Windows và vai trò chính của chúng là làm cho các quy trình Windows trở nên linh hoạt.

Các biến môi trường được thiết lập bởi các quy trình có sẵn cho quy trình đó và con của nó. Môi trường được tạo bởi các biến quy trình là một biến động, chỉ tồn tại trong khi quá trình đang chạy và biến mất hoàn toàn, không để lại bất kỳ dấu vết nào, khi quá trình kết thúc.

Ngoài ra còn có một loại biến môi trường thứ hai, xuất hiện trên toàn bộ hệ thống sau mỗi lần khởi động lại. Chúng có thể được đặt trong thuộc tính hệ thống bởi quản trị viên hoặc trực tiếp bằng cách thay đổi giá trị đăng ký trong khóa Môi trường.

Tin tặc có thể sử dụng các biến này để lợi thế của họ. Họ có thể sử dụng bản sao thư mục C: / Windows độc hại và lừa các biến hệ thống sử dụng tài nguyên từ thư mục độc hại, cho phép họ lây nhiễm hệ thống với các DLL độc hại và tránh bị chương trình chống vi-rút của hệ thống phát hiện. Phần tồi tệ nhất là hành vi này vẫn hoạt động sau mỗi lần khởi động lại.

Mở rộng biến môi trường trong Windows cho phép kẻ tấn công thu thập thông tin về hệ thống trước khi bị tấn công và cuối cùng kiểm soát hoàn toàn và liên tục hệ thống tại thời điểm lựa chọn bằng cách chạy một lệnh cấp người dùng, hoặc thay vào đó, thay đổi một khóa đăng ký.

Vectơ này cũng cho phép mã của kẻ tấn công dưới dạng DLL tải vào các quy trình hợp pháp của các nhà cung cấp khác hoặc chính HĐH và giả trang các hành động của nó là hành động của quy trình đích mà không phải sử dụng các kỹ thuật tiêm mã hoặc sử dụng các thao tác bộ nhớ.

Microsoft không nghĩ lỗ hổng này tạo thành một trường hợp khẩn cấp về bảo mật, nhưng sẽ vẫn vá nó trong tương lai.