Windows User Account Control (UAC) is een beveiligingsmaatregel die volgens Microsoft computers tegen "hackers en kwaadaardige software" moet beschermen, maar via een nieuwe truc is te omzeilen, zo heeft een onderzoeker van beveiligingsbedrijf Cylance aangetoond.
Als software of een gebruiker bepaalde Windowsinstellingen wil wijzigen of acties probeert uit te voeren die beheerdersrechten vereisen verschijnt er een UAC-waarschuwing. Pas als de gebruiker hiervoor toestemming geeft wordt de actie ook uitgevoerd. In het geval de gebruiker geen beheerdersrechten heeft, moet hij eerst het beheerderswachtwoord invullen voordat de actie wordt uitgevoerd.
Onderzoeker Derek Soeder ontwikkelde malware om Windows Explorer mee aan te vallen. De malware, door Soeder "ShameOnUAC" genoemd, injecteert zichzelf in een Explorer-proces dat geen beheerdersrechten heeft. Vervolgens wacht dit proces totdat de gebruiker een programma als beheerder wil starten. Het verzoek van dit programma om de beheerdersrechten wordt door de malware gemanipuleerd en van willekeurige, aanvullende commando's voorzien. Zo kunnen er bijvoorbeeld commando's via de command prompt van Windows worden uitgevoerd of aanpassingen aan het Windows Register gemaakt.
Soeder legt uit dat in het geval de gebruiker cmd.exe start en vervolgens de UAC-waarschuwing goedkeurt, ShameOnUAC eerst een commando met beheerdersrechten kan uitvoeren voordat de gebruiker de command prompt krijgt te zien. De aanval is eenvoudig te voorkomen, gebruikers moeten namelijk "Show details" aanklikken in de UAC-waarschuwing. Dan worden de toegevoegde opdrachten namelijk getoond. Het is echter aan de gebruiker om dit ook elke keer te doen.
"Het is belangrijk om op te merken dat UAC gewoon werkt als bedoeld. ShameOnUAC is griezelig om in actie te zien, omdat het aantoont dat gebruikers telkens al malware onbedoeld verhoogde rechten hebben kunnen geven waarmee het einde oefening was, door elke keer de informatie te negeren waarmee ze het hadden kunnen opmerken", stelt de onderzoeker. In het geval malware beheerdersrechten op een computer kan krijgen kunnen aanvallers namelijk de volledige controle over het systeem krijgen. Zelf zegt Soeder dat hij na zijn onderzoek tegenwoordig altijd de details van een UAC-waarschuwing bekijkt.
Deze posting is gelocked. Reageren is niet meer mogelijk.