Blogger: Windows 7 UAC-funktion, der stadig er sårbar

Microsoft-bloggeren, der først gjorde opmærksom på en sikkerhedsproblem i Windows 7s UAC-funktion (User Account Control), hævder, at den stadig eksisterer, og at Microsoft ikke løser det, selvom virksomheden nærmer sig den endelige kode færdiggørelse på operativsystemet.

Long Zheng, der skriver den populære blog "I Started Something", har indsendt en video online, der viser, hvordan UAC, en sikkerhedsfunktion, der først blev introduceret i Windows Vista, som indstiller brugerrettigheder på en pc i Windows 7 kan udnyttes.

Zheng pegede også på et instruktionsdokument af Microsoft Technical Fellow Mark Russinovich, der forsøger at forklare UAC, og siger det klart, at Microsoft ikke har til hensigt at fastsætte en ændring, der blev foretaget i UAC i Windows 7, der efterlader det nye OS mindre sikkert, fordi det giver en person mulighed for at slukke for fjernbetjeningen uden at brugeren ved det.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Zheng påpegede først denne ændring og dens sårbarhed tilbage i februar. På det tidspunkt sagde han, at den nye UAC "standardbruger" standardindstilling, der ikke meddeler en bruger, når der foretages ændringer i Windows-indstillinger, er hvor sikkerhedsrisikoen ligger. En ændring til UAC ses som en ændring til en Windows-indstilling, så en bruger vil ikke blive underrettet, hvis UAC er deaktiveret, hvilket Zheng sagde at han var i stand til at gøre fjernbetjening med nogle tastaturgenveje og kode.

UAC har været en kontroversiel funktion siden Microsoft introducerede det i Windows Vista for at forbedre dets sikkerhed og give folk, der er de primære brugere af en pc mere kontrol over dets applikationer og indstillinger. Funktionerne forhindrer brugere uden administrative rettigheder at gøre uautoriserede ændringer til et system.

I Russinovichs dokument erkender han, at Zheng og andres observationer om, hvordan tredjeparts software kan bruge funktionen til at få administrative rettigheder til en pc, er nøjagtig.

Men ifølge Zhengs blogpost syntes Russinovich at afvise denne mulighed for fjern kodeudførelse og tilbyder ingen løsning for det, fordi han sagde, at der er andre måder at malware kan komme ind i systemet via UAC-prompter.

"Opfølgningen er, at malware kan få administrative rettigheder ved hjælp af de samme teknikker," skrev Russinovich. "Igen er det sandt, men som tidligere nævnt kan malware også kompromittere systemet via forhøjede forhøjelser. Fra malware er Windows 7 standardtilstand ikke mere eller mindre sikker end Always Notify-tilstanden (" Vista-tilstand "), og malware, der tager udgangspunkt i administrative rettigheder, vil stadig gå i stykker, når de kører i standardmodus Windows 7."

Microsoft reagerede ikke officielt på en anmodning om kommentar til Zhengs krav og videoindlæg. En virksomheds talsmand sagde privat, at Zheng måske har fortolket Russinovichs dokument.

"Pointen synes mig at gøre det sværere for malware at komme på systemet i første omgang ved at hjælpe slutbrugeren med at træffe bedre beslutninger gennem beder de få, og flere og flere brugere kører i standardbrugertilstand vs. i admin-tilstand (fordi admin-tilstand er det, der udsætter din maskine for risici), "sagde talsmand, der bad om ikke at blive navngivet via e-mail.

Microsoft havde stået ved ændringen til UAC's standardindstilling, da Zheng gjorde sin første sårbarhedskrav, idet han sagde, at funktionen ikke kan udnyttes, medmindre der allerede er ondsindet kode, der kører på maskinen, og "der er allerede blevet overtrådt noget andet".

Microsoft har sagt, at Windows 7, der i øjeblikket er i en forhåndsvisningssending, vil være tilgængelig for både virksomheder og forbrugere den 22. oktober. Udgivelsen til fremstilling af operativsystemet, hvor alle kodevarer er endelige, forventes sent i næste måned.