Ningún sistema operativo es a prueba de amenazas y cada usuario lo sabe. Hay una batalla constante entre las compañías de software, por un lado, y los piratas informáticos, por otro lado. Parece que hay muchas vulnerabilidades que los hackers pueden aprovechar, especialmente cuando se trata del sistema operativo Windows.

A principios de agosto, informamos sobre los procesos SilentCleanup de Windows 10 que pueden ser utilizados por los atacantes para permitir que el malware se filtre a través de la puerta UAC en la computadora de los usuarios. Según informes recientes, esta no es la única vulnerabilidad que se esconde en el UAC de Windows.

Se ha detectado un nuevo bypass de UAC con privilegios elevados en todas las versiones de Windows. Esta vulnerabilidad se basa en las variables de entorno del sistema operativo y permite a los piratas informáticos controlar los procesos secundarios y cambiar las variables de entorno.

¿Cómo funciona esta nueva vulnerabilidad UAC?

Un entorno es una colección de variables utilizadas por procesos o usuarios. Los usuarios, los programas o el sistema operativo Windows pueden establecer estas variables y su función principal es hacer que los procesos de Windows sean flexibles.

Las variables de entorno establecidas por los procesos están disponibles para ese proceso y sus hijos. El entorno creado por las variables del proceso es volátil, existe solo mientras el proceso se está ejecutando y desaparece por completo, sin dejar rastro, cuando finaliza el proceso.

También hay un segundo tipo de variables de entorno, que están presentes en todo el sistema después de cada reinicio. Los administradores pueden establecerlos en las propiedades del sistema, o directamente cambiando los valores del registro bajo la tecla Entorno.

Los hackers pueden usar estas variables para su ventaja. Pueden usar una copia maliciosa de la carpeta C: / Windows y engañar a las variables del sistema para que utilicen los recursos de la carpeta maliciosa, lo que les permite infectar el sistema con archivos DLL maliciosos y evitar ser detectados por el antivirus del sistema. La peor parte es que este comportamiento permanece activo después de cada reinicio.

La expansión de la variable de entorno en Windows permite a un atacante recopilar información sobre un sistema antes de un ataque y, finalmente, tomar el control completo y persistente del sistema en el momento de la elección ejecutando un solo comando de nivel de usuario o, alternativamente, cambiando una clave de registro.

Este vector también permite que el código del atacante en forma de DLL se cargue en procesos legítimos de otros proveedores o del sistema operativo en sí mismo y enmascare sus acciones como acciones del proceso objetivo sin tener que usar técnicas de inyección de código o manipulaciones de memoria.

Microsoft no cree que esta vulnerabilidad constituya una emergencia de seguridad, pero la parcheará en el futuro.