Blogger: funzionalità UAC di Windows 7 ancora vulnerabile

Il blogger Microsoft che per primo ha richiamato l'attenzione su una vulnerabilità della sicurezza nella funzionalità User Account Control (UAC) di Windows 7 afferma che esiste ancora e che Microsoft non lo risolverà, nemmeno come azienda

Long Zheng, che scrive il famoso blog "I Started Something", ha pubblicato un video online che mostra come UAC, una funzionalità di sicurezza introdotta per la prima volta in Windows Vista che imposta i privilegi dell'utente su un PC in Windows 9, può essere sfruttato.

Zheng ha anche indicato un documento didattico del collega tecnico di Microsoft Mark Russinovich che tenta di spiegare l'UAC, affermando chiaramente che Microsoft non ha intenzione di correggere una modifica apportata al controllo dell'account utente in Windows. 7 che rende meno sicuro il nuovo sistema operativo perché consente a qualcuno di disattivare a distanza la funzionalità senza che l'utente lo sappia.

[Ulteriore lettura: Come rimuovere il malware dal PC Windows]

Zheng per primo ha sottolineato questo cambiamento e il suo vulnerabilità a febbraio. Al momento ha affermato che la nuova impostazione predefinita "utente standard" del controllo account utente, che non invia una notifica all'utente quando vengono apportate modifiche alle impostazioni di Windows, è il punto in cui risiede il rischio per la sicurezza. Una modifica al Controllo dell'account utente è vista come una modifica a un'impostazione di Windows, quindi un utente non verrà avvisato se UAC è disabilitato, cosa che Zheng ha detto di essere in grado di fare in remoto con alcune scorciatoie da tastiera e codice.

UAC è stato un controverso funzionalità da quando Microsoft l'ha introdotto in Windows Vista per migliorare la sua sicurezza e offrire alle persone che sono gli utenti principali di un PC un maggiore controllo sulle sue applicazioni e impostazioni. Le funzionalità impediscono agli utenti privi di privilegi amministrativi di apportare modifiche non autorizzate a un sistema.

Nel documento di Russinovich, riconosce che Zheng e altre osservazioni su come il software di terze parti può utilizzare la funzione per ottenere diritti amministrativi su un PC è accurata.

Tuttavia, secondo il post sul blog di Zheng, Russinovich sembrava respingere questa possibilità per l'esecuzione di codice in modalità remota e non offre alcuna soluzione per questo, perché ha detto che ci sono altri modi per il malware entrare nel sistema tramite prompt UAC.

"L'osservazione successiva è che il malware potrebbe ottenere diritti amministrativi usando le stesse tecniche", ha scritto Russinovich. "Ancora una volta, questo è vero, ma come ho già sottolineato in precedenza, il malware può compromettere il sistema anche attraverso elevati livelli di spunto. Dal punto di vista del malware, la modalità predefinita di Windows 7 non è più o meno sicura della modalità Notifica sempre (" Modalità Vista " ") e malware che presuppone che i diritti amministrativi si interrompano quando vengono eseguiti nella modalità predefinita di Windows 7."

Microsoft non ha ufficialmente risposto a una richiesta di commento sulla rivendicazione e sul video di Zheng. Tuttavia, un portavoce della società ha detto in privato che Zheng potrebbe aver interpretato male il documento di Russinovich.

"Il punto mi sembra che rendere più difficile l'ingresso di malware sul sistema, aiutando l'utente a prendere decisioni migliori attraverso il richiede e sempre più utenti eseguono in modalità utente standard o in modalità amministratore (perché la modalità amministratore è ciò che espone la macchina ai rischi) ", ha affermato il portavoce, che ha chiesto di non essere nominato, via e-mail.

Microsoft ha confermato il passaggio all'impostazione predefinita di UAC quando Zheng ha presentato la sua prima richiesta di vulnerabilità, affermando che la funzione non può essere sfruttata a meno che non sia già in esecuzione un codice dannoso sulla macchina e "qualcos'altro è già stato violato"

Microsoft ha detto che Windows 7, attualmente in una versione di anteprima, sarà disponibile per le aziende e i consumatori il 22 ottobre. Il rilascio alla produzione del sistema operativo, in cui tutto il codice sarà definitivo, è previsto per il prossimo mese.