image

Windows Vista UAC meldingen niet te vertrouwen

woensdag 21 februari 2007, 11:33 door Redactie, 4 reacties

Een van de manieren waarop Microsoft Windows Vista veiliger heeft willen maken is via "User Account Control" (UAC). Met UAC draait een beheerder eigenlijk als gelimiteerde gebruiker, zodat malware minder schade kan aanrichten. Nu is UAC al meerdere keren het onderwerp van discussie geweest, maar is de aanval onlangs weer geopend. Het begon met rootkit-expert Joanna Rutkowska die het beveiligingsmodel van Vista een grote grap noemde. Microsoft Mark Russinovich reageerde hierop door te zeggen dat UAC geen beveiligingsmaatregel is en dat eventuele bugs niet als beveilgingsbug gezien moeten worden.

UAC werkt via vensters waarin de gebruiker om actie wordt gevraagd. Aan de hand van de kleur van het venster kan de gebruiker zien of het om legitieme partner/actie gaat of dat men voorzichtig moet zijn en mogelijk de actie moet weigeren. Symantec heeft ontdekt dat het mogelijk is om RunLegacyCPLElevated.exe, een onderdeel van Windows, aan te roepen om kwaadaardige DLL/CPL bestanden uit te voeren.

Een gebruiker wordt bijvoorbeeld geinfecteerd met kwaadaardige code, maar draait met beperkte rechten. De malware installeert een kwaadaardig CPL bestand in een locatie waar de gebruiker schrijfrechten heeft. De code start dan RunLegacyCPLElevated.exe met het CPL bestand als parameter. De gebruiker krijgt een prompt waarin wordt beweerd dat Microsoft Windows de rechten moet verhogen. Aangezien de kleur en melding niet verdacht zijn, laat de gebruiker dit toe, en krijgt de malware adminrechten.

Reacties (4)
21-02-2007, 13:12 door Anoniem
Dat is natuurlijk altijd mogelijk. Zolang er een gebruiker achter de PC zit die
zijn rechten kan verhogen, zal er altijd misbruik van worden gemaakt. Het
beveilgingslek is in dit geval de gebruiker. User awareness kan helpen,
echter is het heel moeilijk om de eindgebruiker te bereiken.
21-02-2007, 15:53 door Anoniem
Was niet het hele idee van die schermpjes dat de gebruiker er wordt op
geattendeert dat er iets staat te gebeuren en zo daarop controle kan
uitoefenen? Dan is dit toch goed?
22-02-2007, 09:09 door Anoniem
Ook jullie hebben het artikel van Joanna Rutkowska verkeerd begrepen.
Op http://theinvisiblethings.blogspot.com/ legt ze nog een keer uit wat ze
wel geschreven heeft.
04-03-2007, 02:19 door Anoniem
ja, dat is windows hé :) kijk hier eens op, dan wordt alles duidelijk: http://
http://www.apple.com/nl/getamac/ads/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.