Blogger: Funkcja UAC Windows 7 Nadal jest podatna

Bloger Microsoftu, który pierwszy raz zwrócił uwagę na lukę w zabezpieczeniach w funkcji Kontroli konta użytkownika (UAC) w systemie Windows 7, twierdzi, że wciąż istnieje i że Microsoft jej nie naprawi, nawet jeśli firma zbliża się ostateczne uzupełnianie kodu w systemie operacyjnym.

Long Zheng, który pisze popularny blog "I Started Something", opublikował wideo online pokazujące, jak UAC, funkcja bezpieczeństwa po raz pierwszy wprowadzona w Windows Vista, która ustawia przywileje użytkownika na komputerze w Windows 7 może być wykorzystywany.

Zheng wskazał również na dokument instruktażowy Microsoft Technical Fellow Mark Russinovich, który próbuje wyjaśnić UAC, mówiąc, że wyraźnie stwierdza, że ​​Microsoft nie ma zamiaru naprawiania zmian wprowadzonych w UAC w Windowsie 7, który pozostawia nowy system operacyjny mniej bezpieczny, ponieważ pozwala komuś na zdalne wyłączenie tej funkcji bez wiedzy użytkownika.

[Dalsze informacje: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Zheng po raz pierwszy zwrócił uwagę na tę zmianę i jej luka w zabezpieczeniach w lutym. W tym czasie powiedział, że domyślnym ustawieniem domyślnym nowego użytkownika UAC, które nie powiadamia użytkownika o wprowadzeniu zmian w ustawieniach systemu Windows, jest ryzyko bezpieczeństwa. Zmiana UAC jest postrzegana jako zmiana w ustawieniach systemu Windows, więc użytkownik nie otrzyma powiadomienia, jeśli funkcja Kontrola konta użytkownika zostanie wyłączona, co Zheng powiedział, że był w stanie wykonać zdalne operacje przy użyciu niektórych skrótów klawiaturowych i kodu.

UAC był kontrowersyjny od czasu, gdy Microsoft wprowadził go w systemie Windows Vista w celu poprawy bezpieczeństwa i zapewnienia osobom, które są głównymi użytkownikami komputera, większej kontroli nad swoimi aplikacjami i ustawieniami. Funkcje te uniemożliwiają użytkownikom bez uprawnień administracyjnych wprowadzanie nieautoryzowanych zmian w systemie.

W dokumencie Russinovicha potwierdza on, że obserwacje Zhenga i innych dotyczące tego, w jaki sposób oprogramowanie osób trzecich może korzystać z tej funkcji w celu uzyskania praw administratora na komputerze, są dokładne.

Jednak według posta Zhenga, Russinovich zdawał się odrzucić tę możliwość zdalnego wykonania kodu i nie zaoferował mu żadnej poprawki, ponieważ powiedział, że istnieją inne sposoby, aby złośliwe oprogramowanie dostało się do systemu za pośrednictwem monitów UAC.

"Obserwacja jest następująca: złośliwe oprogramowanie może uzyskać prawa administracyjne przy użyciu tych samych technik" - napisał Russinovich. "Ponownie, to prawda, ale jak już wcześniej zauważyłem, złośliwe oprogramowanie może również narazić system na awarie z poziomu złośliwego oprogramowania, domyślny tryb systemu Windows 7 jest mniej lub bardziej bezpieczny niż tryb Zawsze powiadamiaj (tryb" Vista " "), a złośliwe oprogramowanie, które zakłada, że ​​prawa administratora nadal będą łamać się po uruchomieniu w domyślnym trybie systemu Windows 7."

Microsoft oficjalnie nie odpowiedział na prośbę o komentarz na temat roszczenia i postu Zhenga. Jednak rzecznik firmy powiedział prywatnie, że Zheng mógł źle zinterpretować dokument Russinovicha.

"Wydaje mi się, że trudniej jest, aby szkodliwe oprogramowanie dostało się do systemu, pomagając użytkownikowi końcowemu w podejmowaniu lepszych decyzji poprzez pojawia się monit, a coraz więcej użytkowników pracuje w trybie standardowym lub w trybie administratora (ponieważ tryb administratora naraża maszynę na ryzyko) "- powiedział rzecznik prasowy, który poprosił, aby nie być nazwanym, za pośrednictwem poczty e-mail.

Microsoft stał po zmianie domyślnego ustawienia UAC, gdy Zheng złożył swoją pierwszą skargę dotyczącą luki, mówiąc, że tej funkcji nie można wykorzystać, chyba że na komputerze jest już złośliwy kod i "coś jeszcze zostało naruszone."

Microsoft powiedział, że Windows 7, obecnie w wersji zapoznawczej, będzie dostępny zarówno dla firm, jak i dla konsumentów 22 października. Wydanie do produkcji systemu operacyjnego, w którym cały kod będzie ostateczny, spodziewane jest pod koniec przyszłego miesiąca.