Kein Betriebssystem ist bedrohungssicher und das weiß jeder Benutzer. Es gibt einen ständigen Kampf zwischen Softwareunternehmen einerseits und Hackern andererseits. Es scheint, dass es viele Schwachstellen gibt, die Hacker ausnutzen können, insbesondere wenn es um das Windows-Betriebssystem geht.

Anfang August berichteten wir über die SilentCleanup-Prozesse von Windows 10, mit denen Angreifer Malware durch das UAC-Gate in den Computer der Benutzer eindringen lassen können. Jüngsten Berichten zufolge ist dies nicht die einzige Sicherheitsanfälligkeit, die sich in der Benutzerkontensteuerung von Windows versteckt.

In allen Windows-Versionen wurde eine neue UAC-Umgehung mit erhöhten Berechtigungen erkannt. Diese Sicherheitsanfälligkeit rührt von den Umgebungsvariablen des Betriebssystems her und ermöglicht es Hackern, untergeordnete Prozesse zu steuern und Umgebungsvariablen zu ändern.

Wie funktioniert diese neue Sicherheitsanfälligkeit in der Benutzerkontensteuerung?

Eine Umgebung ist eine Sammlung von Variablen, die von Prozessen oder Benutzern verwendet werden. Diese Variablen können von Benutzern, Programmen oder dem Windows-Betriebssystem selbst festgelegt werden. Ihre Hauptaufgabe besteht darin, die Windows-Prozesse flexibel zu gestalten.

Von Prozessen festgelegte Umgebungsvariablen stehen diesem Prozess und seinen untergeordneten Elementen zur Verfügung. Die Umgebung, die von Prozessvariablen erstellt wird, ist flüchtig und existiert nur, während der Prozess ausgeführt wird. Sie verschwindet vollständig und hinterlässt am Ende des Prozesses überhaupt keine Spuren.

Es gibt auch einen zweiten Typ von Umgebungsvariablen, die nach jedem Neustart im gesamten System vorhanden sind. Sie können in den Systemeigenschaften von Administratoren oder direkt durch Ändern der Registrierungswerte unter dem Umgebungsschlüssel festgelegt werden.

Hacker können diese Variablen zu ihrem Vorteil nutzen. Sie können mithilfe einer böswilligen C: / Windows-Ordnerkopie und Trick-Systemvariablen die Ressourcen aus dem böswilligen Ordner verwenden, um das System mit böswilligen DLLs zu infizieren und zu verhindern, dass sie vom Virenschutz des Systems erkannt werden. Das Schlimmste ist, dass dieses Verhalten nach jedem Neustart aktiv bleibt.

Mithilfe der Umgebungsvariablenerweiterung in Windows kann ein Angreifer vor einem Angriff Informationen über ein System sammeln und schließlich die vollständige und dauerhafte Kontrolle über das System zum gewünschten Zeitpunkt erlangen, indem er einen einzelnen Befehl auf Benutzerebene ausführt oder alternativ einen Registrierungsschlüssel ändert.

Mit diesem Vektor kann der Code des Angreifers in Form einer DLL auch in legitime Prozesse anderer Hersteller oder in das Betriebssystem selbst geladen und seine Aktionen als Aktionen des Zielprozesses maskiert werden, ohne dass Code-Injection-Techniken oder Speichermanipulationen erforderlich sind.

Microsoft ist nicht der Ansicht, dass diese Sicherheitsanfälligkeit einen Sicherheitsnotfall darstellt, wird sie jedoch in Zukunft beheben.