Friendoffriends
Aucun système d'exploitation n'est à l'épreuve des menaces et chaque utilisateur le sait. Il y a une bataille permanente entre les éditeurs de logiciels, d'une part, et les hackers, d'autre part. Il semble qu'il existe de nombreuses vulnérabilités dont les pirates informatiques peuvent profiter, en particulier en ce qui concerne le système d'exploitation Windows..
Début août, nous avons signalé les processus SilentCleanup de Windows 10 qui peuvent être utilisés par des attaquants pour permettre aux logiciels malveillants de passer par la porte UAC dans l'ordinateur des utilisateurs. Selon des rapports récents, ce n'est pas la seule vulnérabilité cachée dans l'UAC de Windows.
Un nouveau contournement UAC avec des privilèges élevés a été détecté dans toutes les versions de Windows. Cette vulnérabilité prend racine dans les variables d'environnement du système d'exploitation et permet aux pirates de contrôler les processus enfants et de modifier les variables d'environnement.
Comment fonctionne cette nouvelle vulnérabilité UAC?
Un environnement est un ensemble de variables utilisées par des processus ou des utilisateurs. Ces variables peuvent être définies par les utilisateurs, les programmes ou le système d'exploitation Windows lui-même et leur rôle principal est de rendre les processus Windows flexibles.
Les variables d'environnement définies par les processus sont disponibles pour ce processus et ses enfants. L'environnement créé par les variables de processus est volatil, existant uniquement pendant que le processus est en cours d'exécution, et disparaît complètement, ne laissant aucune trace à la fin du processus.
Il existe également un deuxième type de variables d'environnement, qui sont présentes sur l'ensemble du système après chaque redémarrage. Ils peuvent être définis dans les propriétés système par les administrateurs ou directement en modifiant les valeurs de registre sous la clé d'environnement.
Les pirates peuvent utiliser ces variables à leur avantage. Ils peuvent utiliser une copie de dossier C: / Windows malveillante et inciter les variables système à utiliser les ressources du dossier malveillant, ce qui leur permet d'infecter le système avec des DLL malveillantes et d'éviter d'être détecté par l'antivirus du système. Le pire, c'est que ce comportement reste actif après chaque redémarrage.
L'expansion des variables d'environnement dans Windows permet à un attaquant de collecter des informations sur un système avant une attaque et éventuellement de prendre le contrôle complet et persistant du système au moment de son choix en exécutant une seule commande au niveau de l'utilisateur, ou en modifiant une clé de registre.
Ce vecteur permet également au code de l'attaquant sous la forme d'une DLL de se charger dans des processus légitimes d'autres fournisseurs ou du système d'exploitation lui-même et de déguiser ses actions en actions du processus cible sans avoir à utiliser des techniques d'injection de code ou à utiliser des manipulations de mémoire.
Microsoft ne pense pas que cette vulnérabilité constitue une urgence de sécurité, mais la corrigera néanmoins à l'avenir.
