Hiçbir işletim sistemi tehlikeye dayanıklı değildir ve her kullanıcı bunu bilir. Bir yandan yazılım şirketleri ile diğer yandan bilgisayar korsanları arasında sürekli bir savaş var. Korsanların, özellikle de Windows işletim sistemi söz konusu olduğunda, yararlanabilecekleri birçok güvenlik açığı olduğu görülüyor.

Ağustos ayının başında, saldırganların UAC geçidinden kullanıcıların bilgisayarlarına girmesini sağlamak için saldırganlar tarafından kullanılabilecek Windows 10'un SilentCleanup işlemlerini bildirdik. Son raporlara göre, bu Windows UAC'sinde saklanan tek güvenlik açığı değil.

Tüm Windows sürümlerinde yükseltilmiş ayrıcalıklara sahip yeni bir UAC bypass algılandı. Bu güvenlik açığı, işletim sisteminin çevre değişkenlerinde ortaya çıkar ve bilgisayar korsanlarının alt süreçleri denetlemelerine ve ortam değişkenlerini değiştirmelerine izin verir.

Bu yeni UAC güvenlik açığı nasıl çalışır?

Çevre, süreçler veya kullanıcılar tarafından kullanılan değişkenlerin bir koleksiyonudur. Bu değişkenler kullanıcılar, programlar veya Windows işletim sistemi tarafından belirlenebilir ve ana rolü Windows işlemlerini esnek hale getirmektir.

Süreçler tarafından belirlenen çevre değişkenleri bu süreç ve çocukları için kullanılabilir. İşlem değişkenleri tarafından oluşturulan çevre, yalnızca işlem çalışırken var olan ve işlem sona erdiğinde hiç iz bırakmadan tamamen kaybolan değişken bir ortamdır.

Her yeniden başlatma işleminden sonra tüm sistemde bulunan ikinci bir ortam değişkeni türü de vardır. Sistem özelliklerinde yöneticiler tarafından veya doğrudan Ortam anahtarı altındaki kayıt defteri değerleri değiştirilerek ayarlanabilirler.

Hackerlar bu değişkenleri kendi avantajları için kullanabilirler. Kötü amaçlı bir C: / Windows klasörünü kullanabilirler ve sistem değişkenlerini kötü amaçlı klasördeki kaynakları kullanarak hile yaparak sisteme kötü niyetli DLL'leri bulaştırabilirler ve sistemin antivirüs tarafından algılanmasını önleyebilirler. En kötü yanı, her yeniden başlatmadan sonra bu davranışın aktif kalmasıdır.

Windows'taki ortam değişken genişlemesi, saldırganın bir saldırıdan önce bir sistem hakkında bilgi toplamasına ve sonunda tek bir kullanıcı düzeyinde komut çalıştırarak veya alternatif olarak bir kayıt defteri anahtarını değiştirerek sistemin seçimini tamamıyla ve sürekli olarak kontrol etmesine olanak tanır.

Bu vektör ayrıca saldırganın kodunu bir DLL biçiminde diğer üreticilerin ya da işletim sisteminin kendisinin yasal işlemlerine yüklemek ve hedef işlemi 'olarak kod enjeksiyon tekniklerini kullanmak veya bellek manipülasyonlarını kullanmak zorunda kalmadan yapılan eylemleri maskelenmesini sağlar.

Microsoft, bu güvenlik açığının bir güvenlik acil durumu oluşturduğunu düşünmese de, gelecekte buna ekleyecektir.