Aucun système d'exploitation n'est à l'abri des menaces et chaque utilisateur le sait. Il y a une bataille constante entre les sociétés de logiciels, d'une part, et les pirates, de l'autre. Il semble qu’il existe de nombreuses vulnérabilités dont les pirates peuvent tirer parti, en particulier en ce qui concerne le système d’exploitation Windows.

Début août, nous avons présenté un rapport sur les processus SilentCleanup de Windows 10 qui peuvent être utilisés par des attaquants pour permettre à un programme malveillant de glisser par la porte de l'UAC dans l'ordinateur des utilisateurs. Selon des rapports récents, il ne s’agit pas de la seule vulnérabilité dissimulée dans le contrôle de compte d'utilisateur de Windows.

Un nouveau contournement du contrôle de compte d'utilisateur avec des privilèges élevés a été détecté dans toutes les versions de Windows. Cette vulnérabilité s’enracine dans les variables d’environnement du système d’exploitation et permet aux pirates de contrôler les processus enfants et de modifier les variables d’environnement.

Comment fonctionne cette nouvelle vulnérabilité UAC?

Un environnement est un ensemble de variables utilisées par des processus ou des utilisateurs. Ces variables peuvent être définies par les utilisateurs, les programmes ou le système d'exploitation Windows lui-même. Leur rôle principal est de rendre les processus Windows flexibles.

Les variables d'environnement définies par les processus sont disponibles pour ce processus et ses enfants. L'environnement créé par les variables de processus est un environnement volatile, existant uniquement pendant l'exécution du processus, et disparaît complètement, sans laisser de trace du tout, à la fin du processus.

Il existe également un deuxième type de variables d'environnement, présentes sur l'ensemble du système après chaque redémarrage. Ils peuvent être définis dans les propriétés du système par les administrateurs ou directement en modifiant les valeurs du registre sous la clé Environment.

Les pirates peuvent utiliser ces variables à leur avantage. Ils peuvent utiliser une copie de dossier C: / Windows illicite et inciter les variables système à utiliser les ressources du dossier malveillant, leur permettant d'infecter le système avec des DLL malveillantes et d'éviter d'être détecté par l'antivirus du système. Le pire est que ce comportement reste actif après chaque redémarrage.

L’expansion de la variable d’environnement dans Windows permet à un attaquant de rassembler des informations sur un système avant une attaque et de prendre le contrôle total et persistant du système au moment de son choix en exécutant une seule commande au niveau utilisateur ou en modifiant une clé de registre.

Ce vecteur permet également au code de l'attaquant, sous la forme d'une DLL, de se charger dans les processus légitimes d'autres fournisseurs ou du système d'exploitation lui-même et de masquer ses actions en actions du processus cible sans avoir à utiliser de techniques d'injection de code ou de manipulations de la mémoire.

Microsoft ne pense pas que cette vulnérabilité constitue une urgence en matière de sécurité, mais le corrigera néanmoins à l'avenir.