image

UAC-beveiliging Windows 10 via Schijfopruiming te omzeilen

dinsdag 26 juli 2016, 11:01 door Redactie, 9 reacties

Een beveiligingsfunctie in Windows 10 die ongewenste systeemwijzigingen moet voorkomen kan via de Schijfopruimingstool worden omzeild, zo hebben beveiligingsonderzoekers Matt Graeber en Matt Nelson ontdekt. Het gaat om Gebruikersaccountbeheer, ook bekend als User Account Control (UAC).

UAC werd met Windows Vista geïntroduceerd en toont gebruikers een pop-up als er iets in het systeem wordt aangepast. Graeber en Nelson ontdekten dat de Schijfopruimingstool in Windows 10 als geplande taak automatisch wordt uitgevoerd en hierbij met de hoogste rechten draait. Het is voor een aanvaller echter mogelijk om de tool een kwaadaardig dll-bestand te laten laden, dat vervolgens met deze hoge rechten wordt uitgevoerd. Zodoende kan Gebruikersaccountbeheer worden omzeild.

Op 20 juli rapporteerden de onderzoekers het probleem aan Microsoft, maar de softwaregigant liet weten dat UAC niet als beveiliging fungeert en er daarom geen sprake van een kwetsbaarheid is. "Hoewel het geen kwetsbaarheid is, biedt het een aanvaller een alternatieve methode om hoge rechten te verkrijgen die verschilt van vorige methodes en introduceert weer een locatie die in de gaten moet worden gehouden", aldus de onderzoekers. Ze stellen dat het probleem kan worden verholpen door de geplande taak uit te schakelen of ervoor te zorgen dat het niet met de hoogste rechten draait.

Reacties (9)
26-07-2016, 14:14 door [Account Verwijderd]
ja hoor wat een regelrechte onzin. De policy settings voor UAC kun je vinden onder Windows Instellingen - Beveiligingsinstellingen - lokaal beleid - beveiligingsopties. nee is geen beveiliging hoor ..

het kunnen omzeilen van beveiligingsmaatregelen is gewoon een kwetsbaarheid, punt uit.
26-07-2016, 14:25 door _R0N_
Door timmothai: ja hoor wat een regelrechte onzin. De policy settings voor UAC kun je vinden onder Windows Instellingen - Beveiligingsinstellingen - lokaal beleid - beveiligingsopties. nee is geen beveiliging hoor ..

het kunnen omzeilen van beveiligingsmaatregelen is gewoon een kwetsbaarheid, punt uit.

Ligt er aan hoe je het bekijkt.. je hoeft je niet te authentiseren voor UAC en dus kun je ook stellen dat het een waarschuwings meganiek is..

Het is niet netjes maar de kans is groter dat iemand domweg klikt en ok doet bij de UAC popup dan dat hij een DLL vervangt zodat het een dag later uitgevoerd wordt.
26-07-2016, 14:31 door [Account Verwijderd]
Door _R0N_:

Ligt er aan hoe je het bekijkt.. je hoeft je niet te authentiseren voor UAC en dus kun je ook stellen dat het een waarschuwings meganiek is..

Het is niet netjes maar de kans is groter dat iemand domweg klikt en ok doet bij de UAC popup dan dat hij een DLL vervangt zodat het een dag later uitgevoerd wordt.

in een active directory omgeving moet je wel degelijk authenticeren. In dit geval zie ik het als een beveiligingsmaatregel (even los van de acl's op register en ntfs rechten om naderhand nog eea te kunnen).

voor de thuisgebruiker is het idd meer een waarschuwingsmechaniek, mee eens.
26-07-2016, 14:40 door Anoniem
Twijfelachtige reactie van Microsoft, maar wel consequent.

Ze presenteren UAC als maatregel die beveiliging verhoogt, om dan vervolgens een voor een leek conceptueel nogal lastig verhaal over "security boundaries" op te hangen en uit te leggen dat UAC niet zo'n boundary vormt. UAC is als een compromis tussen gemak en veiligheid ontstaan. Omdat het geen "security boundary" vormt kan er ook geen beveiligingslek in zitten, is de redenatie.

Ik heb het idee dat Microsoft zich in de nesten heeft gewerkt met deze opzet. Enerzijds willen ze gebruikers niet met allerlei concepten opzadelen die te moeilijk voor ze zijn, maar anderzijds ontwikkelen ze om dat te realiseren constructies die nog veel ondoorzichtiger zijn dan wat ze ermee af willen schermen, en in dit geval ze hebben vervolgens verschillende uitleggen daarover gepubliceerd omdat ze het belangrijk vinden dat hun gebruikers het wél begrijpen. Dan zitten ze heel raar op twee gedachten te hinken, en het resultaat is dat ze dingen om ze simpel te houden juist ingewikkeld maken.

Dit is daar maar één voorbeeld van. Werkend met Windows, toen ik dat nog veel deed, bekroop me zowat voortdurend het gevoel dat voor mij overzichtelijke dingen angstvallig werden afgeschermd met abstracies die voor mij veel onduidelijker waren dan wat werd afgeschermd. Ik kreeg het idee dat het systeem voortdurend actief probeerde om mijn begrip ervan te saboteren, en dat beviel slecht.

Ik ben geen doorsnee-computergebruiker, voor mij houdt begrijpen niet in dat ik de weg leer kennen in allerlei handelingen maar dat ik de onderliggende concepten snap en van daaruit zelf beredeneer welke handelingen nodig zijn. Maar ik waardeer het wel als die onderliggende concepten dan redelijk recht voor zijn raap zijn en niet onnodig ingewikkeld worden gemaakt. De benadering die Microsoft heeft gekozen en steeds verder heeft doorgevoerd botst duidelijk met mijn benadering als computergebruiker. De vragen die ik bij dingen stel waarmee ik geconfronteerd wordt in het gebruik worden meestal beantwoord met "zo doe je dat" (handelingen) en niet met "vanuit deze gedachte is het opgezet" (concepten), en dat is nou net wat ik nodig heb om er verder mee te komen. Gek genoeg richt Microsoft zich met UAC op "zo doe je het"-gebruikers terwijl ze vervolgens met een conceptuele uitleg over security boundaries veronderstellen dat die mensen conceptuele denkers zijn. Als ze dat waren had je dat hele UAC niet zo opgezet, denk ik dan.

Ik vraag me steeds vaker af of al die pogingen om het makkelijker te maken dat wel doen, ook voor doorsnee-gebruikers. Het geheel is juist complexer, en die complexiteit schemert hardnekkig op allerlei manieren door. Ik kan me voorstellen dat er een forse groep gemiddeld intelligente computergebruikers is die daardoor juist belemmerd wordt in het écht leren begrijpen waar ze mee werken, terwijl ze dat best zouden kunnen. En meer begrip van wat je computer is en hoe die eigenlijk zo'n beetje werkt kan een positieve impact hebben op aantallen malwarebesmettingen en dat soort ellende.
26-07-2016, 15:26 door Anoniem
Het maakt niet uit of UAC effectief is in de handen van domme gebruikers. Wat belangrijk is is dat het volledig kan worden omzeild door deze methode zonder interactie met de gebruiker (behalve dan de initiële deployment als gewone gebruiker). Het is ook niet zo zeer een fout in UAC, maar een kapitale fout in de opschoontaak/taakplanner.
26-07-2016, 16:53 door Anoniem
@14:40

Ik snap wat je bedooeld, en ben het met je eens. Microsoft wil dat wij de dingen doen in het OS waarvan ze toestaan/willen dat we doen, en meer niet.

R
26-07-2016, 18:58 door karma4
Onder task manger afvuren dan is het goede kans dat het onder local system loopt ofwel en van de root variaties met niet onbeperkte maar toch wel heel veel rechten.
Task Manager ofwel at cron is opgezet voor beheerders die weten wat ze doen.

Ja die opmerking staat ook bij de adviezen.
Niet veel anders dan bij Linux of andere OS systemen.
Het is de reden dat techneuten van alles dichtzetten en systemen als Linux bijna onbruikbaar maken voor gewenste toepassingen. Vervolgens gaan die gebruikers eigen oplossingen verzinnen met eg. Taskmanager op de eigen Desktop.

Het zou beter zijn een goed secùrity beleid te voeren waarbij de applicaties en gebruikers ook mee uit de voeten kunnen.
Als daar aparte systeem en test accounts voor nodig wat is daar het probleem? O ja gebrek aan inzicht wat gebezigd wordt als complexiteit. Dan schiet het niet echt op.
26-07-2016, 20:46 door Anoniem
Door karma4: Onder task manger afvuren dan is het goede kans dat het onder local system loopt ofwel en van de root variaties met niet onbeperkte maar toch wel heel veel rechten.
Task Manager ofwel at cron is opgezet voor beheerders die weten wat ze doen.

Ja die opmerking staat ook bij de adviezen.
Niet veel anders dan bij Linux of andere OS systemen.
Het is de reden dat techneuten van alles dichtzetten en systemen als Linux bijna onbruikbaar maken voor gewenste toepassingen. Vervolgens gaan die gebruikers eigen oplossingen verzinnen met eg. Taskmanager op de eigen Desktop.

Het zou beter zijn een goed secùrity beleid te voeren waarbij de applicaties en gebruikers ook mee uit de voeten kunnen.
Als daar aparte systeem en test accounts voor nodig wat is daar het probleem? O ja gebrek aan inzicht wat gebezigd wordt als complexiteit. Dan schiet het niet echt op.

Ja! Echt, nu is het mij ineens helemaal duidelijk! Bedankt!
27-07-2016, 09:35 door Anoniem
Door karma4: Onder task manger afvuren dan is het goede kans dat het onder local system loopt ofwel en van de root variaties met niet onbeperkte maar toch wel heel veel rechten.
Task Manager ofwel at cron is opgezet voor beheerders die weten wat ze doen.

Ja die opmerking staat ook bij de adviezen.
Niet veel anders dan bij Linux of andere OS systemen.
Het is de reden dat techneuten van alles dichtzetten en systemen als Linux bijna onbruikbaar maken voor gewenste toepassingen. Vervolgens gaan die gebruikers eigen oplossingen verzinnen met eg. Taskmanager op de eigen Desktop.

Het zou beter zijn een goed secùrity beleid te voeren waarbij de applicaties en gebruikers ook mee uit de voeten kunnen.
Als daar aparte systeem en test accounts voor nodig wat is daar het probleem? O ja gebrek aan inzicht wat gebezigd wordt als complexiteit. Dan schiet het niet echt op.
Ik snap echt geen hol van je reactie. Ik heb het een paar keer gelezen, maar ik kan het echt niet volgen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.