Ningún sistema operativo es a prueba de amenazas y todos los usuarios lo saben. Hay una batalla constante entre las empresas de software, por un lado, y los hackers, por otro. Parece que hay muchas vulnerabilidades que los hackers pueden aprovechar, especialmente cuando se trata del sistema operativo Windows.
A principios de agosto, informamos sobre los procesos de SilentCleanup de Windows 10, que pueden ser utilizados por los atacantes para permitir que el malware se deslice a través de la puerta UAC en el equipo de los usuarios. Según informes recientes, esta no es la única vulnerabilidad que se esconde en el UAC de Windows.
Se ha detectado un nuevo bypass de UAC con privilegios elevados en todas las versiones de Windows. Esta vulnerabilidad se enraíza en las variables de entorno del sistema operativo y permite a los hackers controlar los procesos hijo y cambiar las variables de entorno.
¿Cómo funciona esta nueva vulnerabilidad de UAC?
Un entorno es un conjunto de variables utilizadas por los procesos o los usuarios.Estas variables pueden ser configuradas por los usuarios, los programas o el propio sistema operativo Windows y su función principal es hacer que los procesos de Windows sean flexibles.
Las variables de entorno establecidas por los procesos están disponibles para ese proceso y sus hijos. El entorno creado por las variables de proceso es volátil, existe sólo mientras el proceso está en marcha, y desaparece por completo, sin dejar rastro alguno, cuando el proceso termina.
También hay un segundo tipo de variables de entorno, que están presentes en todo el sistema después de cada reinicio. Los administradores pueden definirlos en las propiedades del sistema, o directamente cambiando los valores del registro bajo la clave de entorno.
Los hackers pueden utilizar estas variables a su favor. Pueden utilizar una copia maliciosa de la carpeta C:/Windows y engañar a las variables del sistema para que utilicen los recursos de la carpeta maliciosa, lo que les permite infectar el sistema con DLL maliciosas y evitar ser detectados por el antivirus del sistema. La peor parte es que este comportamiento permanece activo después de cada reinicio.
La expansión de variables de entorno en Windows permite a un atacante recopilar información sobre un sistema antes de un ataque y, finalmente, tomar el control completo y persistente del sistema en el momento de la elección ejecutando un único comando a nivel de usuario o, alternativamente, cambiando una clave de registro.
Este vector también permite que el código del atacante en forma de DLL se cargue en procesos legítimos de otros proveedores o del propio sistema operativo y se disfrace de acciones como acciones del proceso de destino sin tener que utilizar técnicas de inyección de código o manipulaciones de memoria.
Microsoft no cree que esta vulnerabilidad constituya una emergencia de seguridad, pero la corregirá en el futuro.