Friendoffriends
Nenhum sistema operacional é à prova de ameaças e todos os usuários sabem disso. Há uma batalha constante entre empresas de software, por um lado, e hackers, por outro. Parece que existem muitas vulnerabilidades das quais os hackers podem tirar proveito, especialmente quando se trata do sistema operacional Windows.
No início de agosto, relatamos sobre os processos SilentCleanup do Windows 10 que podem ser usados por invasores para permitir que o malware passe pela porta do UAC para o computador dos usuários. De acordo com relatórios recentes, esta não é a única vulnerabilidade escondida no UAC do Windows.
Um novo desvio do UAC com privilégios elevados foi detectado em todas as versões do Windows. Esta vulnerabilidade tem raízes nas variáveis de ambiente do sistema operacional e permite que os hackers controlem os processos filhos e alterem as variáveis do ambiente.
Como funciona essa nova vulnerabilidade do UAC?
Um ambiente é uma coleção de variáveis usadas por processos ou usuários. Essas variáveis podem ser definidas por usuários, programas ou pelo próprio sistema operacional Windows e sua principal função é tornar os processos do Windows flexíveis.
Variáveis de ambiente definidas por processos estão disponíveis para esse processo e seus filhos. O ambiente criado pelas variáveis do processo é volátil, existindo apenas enquanto o processo está em execução, e desaparece completamente, sem deixar vestígios, quando o processo termina.
Também existe um segundo tipo de variáveis de ambiente, que estão presentes em todo o sistema após cada reinicialização. Eles podem ser definidos nas propriedades do sistema pelos administradores ou diretamente alterando os valores do registro na chave de ambiente.
Os hackers podem usar essas variáveis a seu favor. Eles podem usar uma cópia da pasta C: / Windows maliciosa e enganar as variáveis do sistema para que usem os recursos da pasta maliciosa, permitindo que infectem o sistema com DLLs maliciosas e evitem serem detectados pelo antivírus do sistema. A pior parte é que este comportamento permanece ativo após cada reinicialização.
A expansão da variável de ambiente no Windows permite que um invasor reúna informações sobre um sistema antes de um ataque e, eventualmente, assuma o controle completo e persistente do sistema no momento de escolha, executando um único comando de nível de usuário ou, alternativamente, alterando uma chave de registro.
Esse vetor também permite que o código do invasor na forma de uma DLL seja carregado em processos legítimos de outros fornecedores ou no próprio sistema operacional e mascarar suas ações como ações do processo alvo, sem ter que usar técnicas de injeção de código ou manipulações de memória.
A Microsoft não acredita que esta vulnerabilidade constitua uma emergência de segurança, mas, no entanto, a corrigirá no futuro.
![Todos os problemas corrigidos pelo Windows Update Rollup [maio de 2014]](https://friend-of-friends.com/storage/img/images/all-the-issues-fixed-by-windows-update-rollup-[may-2014].jpg)
