Microsoft stond vreemd te kijken toen het een flinke lading kritiek kreeg omdat malware in bepaalde scenario's de User Account Control (UAC) feature kan uitschakelen, zonder dat de gebruiker hiervoor wordt gewaarschuwd. Onderzoeker Long Zhen ontdekte dat UAC via een user mode script is uit te schakelen. De softwaregigant liet weten dat het een ontwerpkeuze betrof en is niet van plan het "probleem" op te lossen. Gisteren liet het echter weten dat het de werking toch iets zal aanpassen, maar het gaat daarbij niet terug naar het gedrag van Vista. Het heeft namelijk de UAC functie aan de hand van wat gebruikers wilden aangepast. Die klaagden steen en been over alle meldingen in Vista, waarop Microsoft het in Windows 7 aanpaste, en nu is het weer niet goed.
"Veel van de recente feedback vergeet dat Windows 7 beter in staat is dan Windows Vista om te voorkomen dat malware in de eerste plaats de PC bereikt", zegt Microsoft engineer Jon DeVaan. Hij merkt op dat Windows 7 zich nog verder richt op het stoppen van malware voordat het zich kan installeren. "We hebben gedaan wat je ons vroeg te doen: Het aantal UAC meldingen verminderen, met name als je Windows instellingen wijzigt. En we doen wat de melding zegt dat we doen", gaat Roger Halbheer verder.
Geen beveiligingslek
Hij ziet het dan ook niet als een beveiligingslek. "Als je naar me komt en vindt dat we meer UAC meldingen moeten geven, denk dan eerst na over alle Vista discussies voordat je wat zegt." DeVaan merkt verder op dat het hier niet om een lek kan gaan, aangezien malware al op het systeem moet draaien om UAC uit te schakelen. IT-journalist Larry Seltzer is het met Microsoft eens, hoewel hij eerst dacht dat dit wel een groot probleem zou kunnen worden. "Hoe meer ik erover nadacht, des te meer ik denk dat Microsoft het bij het juiste eind heeft."
Zo moet een gebruiker het script zelf uitvoeren. De aanval is dus de schuld van de gebruiker, niet van Windows. Daarnaast werkt de aanval alleen als de gebruiker als administrator is ingelogd. Het standaard ingestelde account na een installatie heeft adminrechten, maar de softwaregigant adviseert gebruikers om een "standard account" aan te maken. Volgens Seltzer kan de techniek voor veel ergere dingen gebruikt worden. Het configuratiescherm bevat belangrijke systeeminstellingen. Je kunt wachtwoorden instellen, software verwijderen, de firewall uitschakelen. "Dit alles is mogelijk vanwege de standaard UAC instellingen, en je hoeft die niet te veranderen om het te "misbruiken."
Voor Seltzer is het dan ook duidelijk. "Hoe meer ik erover nadenk, hoe minder ik er van onder de indruk ben. Het heeft nauwelijks zin voor Microsoft om het gedrag van dit ene configuratiepaneel te wijzigen en gebruikers die zich hier zorgen over maken hebben tal van manieren om zichzelf te beschermen. Wat deze kleine episode laat zien is dat beveiliging zeer complex is en niet elk probleem is het waard om op te lossen."
Deze posting is gelocked. Reageren is niet meer mogelijk.