脅威に耐えるオペレーティングシステムはなく、すべてのユーザーがこれを知っています。 一方ではソフトウェア会社と他方ではハッカーとの間で絶え間ない戦いがあります。 特にWindows OSに関しては、ハッカーが利用できる脆弱性が多数あるようです。

8月の初めに、マルウェアがUACゲートを通過してユーザーのコンピューターに侵入できるようにするために、攻撃者が使用できるWindows 10のSilentCleanupプロセスについて報告しました。 最近の報告によると、これはWindowsのUACに隠れている脆弱性だけではありません。

すべてのWindowsバージョンで、昇格された特権を持つ新しいUACバイパスが検出されました。 この脆弱性はOSの環境変数に根ざしており、ハッカーが子プロセスを制御して環境変数を変更できるようにします。

この新しいUAC脆弱性はどのように機能しますか？

環境は、プロセスまたはユーザーが使用する変数のコレクションです。 これらの変数は、ユーザー、プログラム、またはWindows OS自体によって設定でき、その主な役割は、Windowsプロセスを柔軟にすることです。

プロセスによって設定された環境変数は、そのプロセスとその子で使用できます。 プロセス変数によって作成される環境は揮発性で、プロセスの実行中にのみ存在し、プロセスが終了すると完全に消え、トレースはまったく残りません。

また、2番目のタイプの環境変数があり、再起動するたびにシステム全体に存在します。 これらは、管理者がシステムプロパティで設定するか、Environmentキーでレジストリ値を直接変更して設定できます。

ハッカーはこれらの変数を有利に使用できます。 悪意のあるC：/ Windowsフォルダーのコピーを使用して、システム変数を悪意のあるフォルダーのリソースを使用するように仕向けることができます。これにより、悪意のあるDLLをシステムに感染させ、システムのウイルス対策ソフトウェアによる検出を回避できます。 最悪の部分は、各再起動後にこの動作がアクティブのままになることです。

Windowsの環境変数の展開により、攻撃者は攻撃前にシステムに関する情報を収集し、最終的に単一のユーザーレベルのコマンドを実行するか、1つのレジストリキーを変更することにより、選択時にシステムを完全かつ永続的に制御できます。

また、このベクトルは、DLLの形式の攻撃者のコードを他のベンダーまたはOS自体の正当なプロセスにロードし、コードインジェクションテクニックを使用したりメモリ操作を使用したりすることなく、そのアクションをターゲットプロセスのアクションとしてマスカレードできます。

マイクロソフトは、この脆弱性がセキュリティ上の緊急事態を構成するとは考えていませんが、それでも将来パッチを当てます。