Friendoffriends
Kein Betriebssystem ist bedrohungssicher und jeder Benutzer weiß dies. Es gibt einen ständigen Kampf zwischen Softwareunternehmen einerseits und Hackern andererseits. Es scheint, dass es viele Schwachstellen gibt, die Hacker ausnutzen können, insbesondere wenn es um das Windows-Betriebssystem geht.
Anfang August berichteten wir über die SilentCleanup-Prozesse von Windows 10, mit denen Angreifer Malware durch das UAC-Gate in den Computer der Benutzer gelangen lassen können. Jüngsten Berichten zufolge ist dies nicht die einzige Sicherheitsanfälligkeit, die sich in der Benutzerkontensteuerung von Windows verbirgt.
In allen Windows-Versionen wurde eine neue UAC-Umgehung mit erhöhten Berechtigungen festgestellt. Diese Sicherheitsanfälligkeit beruht auf den Umgebungsvariablen des Betriebssystems und ermöglicht es Hackern, untergeordnete Prozesse zu steuern und Umgebungsvariablen zu ändern.
Wie funktioniert diese neue UAC-Sicherheitsanfälligkeit??
Eine Umgebung ist eine Sammlung von Variablen, die von Prozessen oder Benutzern verwendet werden. Diese Variablen können von Benutzern, Programmen oder dem Windows-Betriebssystem selbst festgelegt werden. Ihre Hauptaufgabe besteht darin, die Windows-Prozesse flexibel zu gestalten.
Von Prozessen festgelegte Umgebungsvariablen stehen diesem Prozess und seinen untergeordneten Elementen zur Verfügung. Die durch Prozessvariablen erstellte Umgebung ist flüchtig und existiert nur während der Ausführung des Prozesses. Sie verschwindet vollständig und hinterlässt am Ende des Prozesses keinerlei Spuren.
Es gibt auch einen zweiten Typ von Umgebungsvariablen, die nach jedem Neustart im gesamten System vorhanden sind. Sie können in den Systemeigenschaften von Administratoren oder direkt durch Ändern der Registrierungswerte unter dem Umgebungsschlüssel festgelegt werden.
Hacker können diese Variablen zu ihrem Vorteil nutzen. Sie können eine böswillige C: / Windows-Ordnerkopie verwenden und Systemvariablen dazu verleiten, die Ressourcen aus dem böswilligen Ordner zu verwenden, um das System mit böswilligen DLLs zu infizieren und zu vermeiden, vom Antivirenprogramm des Systems erkannt zu werden. Das Schlimmste ist, dass dieses Verhalten nach jedem Neustart aktiv bleibt.
Durch die Erweiterung der Umgebungsvariablen in Windows kann ein Angreifer vor einem Angriff Informationen über ein System sammeln und schließlich zum Zeitpunkt der Auswahl die vollständige und dauerhafte Kontrolle über das System übernehmen, indem er einen einzelnen Befehl auf Benutzerebene ausführt oder alternativ einen Registrierungsschlüssel ändert.
Mit diesem Vektor kann der Code des Angreifers auch in Form einer DLL in legitime Prozesse anderer Anbieter oder des Betriebssystems selbst geladen und seine Aktionen als Aktionen des Zielprozesses maskiert werden, ohne dass Codeinjektionstechniken oder Speichermanipulationen verwendet werden müssen.
Microsoft glaubt nicht, dass diese Sicherheitsanfälligkeit einen Sicherheitsnotfall darstellt, wird sie jedoch in Zukunft beheben.
