Een van de manieren waarop Microsoft Windows Vista veiliger heeft willen maken is via "User Account Control" (UAC). Met UAC draait een beheerder eigenlijk als gelimiteerde gebruiker, zodat malware minder schade kan aanrichten. Nu is UAC al meerdere keren het onderwerp van discussie geweest, maar is de aanval onlangs weer geopend. Het begon met rootkit-expert Joanna Rutkowska die het beveiligingsmodel van Vista een grote grap noemde. Microsoft Mark Russinovich reageerde hierop door te zeggen dat UAC geen beveiligingsmaatregel is en dat eventuele bugs niet als beveilgingsbug gezien moeten worden.
UAC werkt via vensters waarin de gebruiker om actie wordt gevraagd. Aan de hand van de kleur van het venster kan de gebruiker zien of het om legitieme partner/actie gaat of dat men voorzichtig moet zijn en mogelijk de actie moet weigeren. Symantec heeft ontdekt dat het mogelijk is om RunLegacyCPLElevated.exe, een onderdeel van Windows, aan te roepen om kwaadaardige DLL/CPL bestanden uit te voeren.
Een gebruiker wordt bijvoorbeeld geinfecteerd met kwaadaardige code, maar draait met beperkte rechten. De malware installeert een kwaadaardig CPL bestand in een locatie waar de gebruiker schrijfrechten heeft. De code start dan RunLegacyCPLElevated.exe met het CPL bestand als parameter. De gebruiker krijgt een prompt waarin wordt beweerd dat Microsoft Windows de rechten moet verhogen. Aangezien de kleur en melding niet verdacht zijn, laat de gebruiker dit toe, en krijgt de malware adminrechten.
Deze posting is gelocked. Reageren is niet meer mogelijk.