Blogger: Windows 7 UAC Feature Still Vulnerable

Microsoftov bloger koji je prvo pozvao na sigurnosnu ranjivost u značajci UAC (User Account Control) u sustavu Windows 7 tvrdi kako još uvijek postoji i da Microsoft to neće popraviti, čak i kao tvrtka

Long Zheng, koji piše popularni blog "I Started Something", objavio je online videozapis koji pokazuje kako je UAC, sigurnosna značajka koja je prvi put uvedena u sustavu Windows Vista, postavlja korisničke privilegije na računalu Windows 7, može se iskoristiti.

Zheng je također ukazao na instrukcijski dokument Microsoftovog tehničkog suradnika Mark Russinovich koji pokušava objasniti UAC rekavši kako jasno kaže da Microsoft nema namjeru popraviti promjenu koju je napravio u UAC-u u sustavu Windows 7 koji ostavlja novi OS manje siguran jer dopušta nekome da daljinski isključi značajku bez da korisnik zna.

[Daljnje čitanje: Kako ukloniti zlonamjerni softver s vašeg Windows računala]

Zheng je prvi ukazao na tu promjenu i njegovu ranjivost još u veljači. U to vrijeme je rekao da je zadana postavka nove standardne korisnike UAC-a, koja ne obavještava korisnika prilikom promjene u postavkama sustava Windows, gdje je sigurnosni rizik. Promjena UAC-a promatra se kao promjena postavki sustava Windows, tako da korisnik neće biti obaviješten ako je UAC onemogućen, a Zheng je rekao da je mogao daljinski raditi s nekim tipkovnim prečacima i kodom.

UAC je bio kontroverzan značajka jer je Microsoft predstavio u sustavu Windows Vista kako bi poboljšala svoju sigurnost i omogućila korisnicima koji su primarni korisnici računala veću kontrolu nad svojim aplikacijama i postavkama. Značajke sprječavaju korisnike bez administrativnih ovlasti da neovlaštene promjene sustava.

U Russinovichovom dokumentu on priznaje da su Zheng i ostala primjedbe o tome kako softver treće strane može koristiti ovu značajku za stjecanje administrativnih prava na računalo točni.

Međutim, prema Zhengovom blogu, Russinovich je, čini se, odbacivao ovu mogućnost za daljinsko izvršavanje koda i ne nudi nikakvu ispravku jer je rekao da postoje neki drugi načini za zlonamjerni softver da se u sustav uključi putem UAC-ovih upita.

"Naknadno promatranje je da zlonamjerni softver može dobiti administrativna prava koristeći iste tehnike", napisao je Russinovich. "Opet, to je istina, ali kao što sam ranije istaknuo, zlonamjerni softver može ugroziti sustav putem zacrtanih povišenja. U perspektivi zlonamjernog softvera, zadani način rada sustava Windows 7 nije više ili manje siguran od načina Always Notify (" "), a zlonamjerni softver koji preuzima administrativna prava i dalje će se slomiti kada se pokreće u zadanom načinu rada sustava Windows 7."

Microsoft nije službeno odgovorio na zahtjev za komentar na Zhengov zahtjev i video post. Međutim, glasnogovornik tvrtke izjavio je privatno da je Zheng možda pogrešno protumačio Russinovichev dokument.

"Čini mi se da je teško stvoriti zlonamjerni softver na prvom mjestu, pomažući krajnjem korisniku donošenje boljih odluka kroz potiče da dobiju i da se sve više korisnika pokreće u standardnom načinu rada korisnika u odnosu na admin način (jer je način administriranja ono što vaše računalo pokreće rizicima), rekao je glasnogovornik koji je zatražio da se ne nazove putem e-maila.

Microsoft je stajao promjenom zadane postavke UAC-a kada je Zheng napravio prvu ranjivost tvrdeći da se značajka ne može iskoristiti, osim ako već postoji zlonamjerni kôd koji se pokreće na uređaju i "nešto drugo već je prekršeno".

Microsoft je izjavio da će Windows 7, koji je trenutačno u izdanju pregleda, biti dostupan i tvrtkama i potrošačima 22. listopada. Očekuje se da će puštanje na proizvodnju operacijskog sustava na konačnom konačnom konačnom računu biti okončano sljedećeg mjeseca.