Znajdź zawartość

Chester Wisniewski z Sophosa twierdzi, że Windows 7 jest bardziej narażony na ataki niż Windows Vista. Wszystko przez inne domyślne ustawienia mechanizmu UAC. Kontrola Konta Użytkownika (UAC) to jeden z tych mechanizmów, na które najbardziej skarżyli się użytkownicy Visty. W domyślnych ustawieniach wymagał on bowiem od użytkownika zbyt dużej liczby potwierdzeń wykonania operacji. Dlatego też Microsoft zmniejszył domyślny poziom zabezpieczeń UAC w Windows 7. Chcieliśmy sprawdzić, na ile UAC jest skuteczny w Windows 7. Wzięliśmy więc 10 próbek szkodliwego kodu i je wypróbowaliśmy - mówi Wisniewski. Szkodliwy kod wgrano na czysty Windows 7, a następnie uruchomiono tak, jak zrobiłby to użytkownik zachęcony przez przestępców do zainstalowania szkodliwego pliku. Spośród 10 próbek dwie nie uruchomiły się w ogóle, prawdopodobnie dlatego, że zostały zaprojektowane tak, by atakować znacznie bardziej popularne Windows XP i Windows Vistę. Spośród pozostałych ośmiu uruchomienie tylko jednego spowodowało wyświetlenie się alertu zabezpieczeń UAC. Wisniewski przyznaje, że przeprowadzony test nie mówi niczego o bezpieczeństwie Windows 7. Miał on na celu sprawdzenie jedynie, na ile komputer chroniony jest przez UAC w sytuacji, gdy szkodliwe oprogramowanie ominie już oprogramowanie antywirusowe, firewall czy mechanizmy ochronne zaimplementowane w samym systemie operacyjnym, takie jak DEP czy ASLR. Wisniewski powtarza więc porady, które można było usłyszeć już wcześniej - użytkownicy Windows 7 powinni włączyć UAC na wyższy poziom zabezpieczeń. Jeśli mechanizm będzie im przeszkadzał, mogą go w ogóle wyłączyć bez zbytniej szkody dla bezpieczeństwa systemu.

W wersji Release Candidate Windows 7 Microsoft poprawi błąd, który pozwala atakującemu na zmianę ustawień UAC (User Account Control). Przypomnijmy, że dwoje specjalistów poinformowało, iż możliwe jest napisanie takiego szkodliwego kodu, który zasymuluje zgodę użytkownika na nadanie mu uprawnień administratora, co z kolei pozwoli na instalację tego kodu. Początkowo Microsoft twierdził, że nie jest to błąd. Jednak po otrzymaniu kolejnych informacji od odkrywców luki reakcja, jak na koncern, była błyskawiczna. W ciągu kilkunastu godzin na firmowym blogu ukazał się wpis, że w Windows 7 RC zostaną wprowadzone pewne innowacje w UAC. Jedna z nich będzie polegała na tym, że wszelkie zmiany w poziomie zabezpieczeń będą musiały zostać dodatkowo potwierdzone przez użytkownika. Microsoft nie spełni jednak innej sugestii odkrywców błędu. Oni, jak i część specjalistów, twierdzili, że koncern powinien ponownie rozważyć domyślny poziom zabezpieczeń w Windows 7. Został on obniżony w stosunku do Windows Visty, gdyż użytkownicy skarżyli się na zbyt częste prośby o potwierdzenie wykonywanych operacji. Domyślny poziom pozostanie więc na "Poinformuj mnie tylko wtedy, gdy jakiś program chce dokonać zmian na komputerze", ale sam UAC będzie lepiej chroniony.

Serwis NeoWin informuje o poważnym problemie z mechanizmem UAC (User Account Control) w systemie Windows 7 Beta 1. Okazuje się, że można go w prosty sposób obejść. UAC był jednym z powodów licznych skarg użytkowników na Windows Vista. W standardowej konfiguracji pytał bowiem wielokrotnie użytkownika o zgodę na przeprowadzenie wielu operacji w systemie. Jako że większość użytkowników nie zadała sobie trudu, by dostosować UAC do swoich potrzeb, mechanizm wydawał im się bardzo uciążliwy. Dlatego też w Windows 7 Microsoft zmienił go tak, by zmniejszyć liczbę wymaganych potwierdzeń. Teraz UAC prosi o potwierdzenie operacji tylko wtedy, gdy zmian w konfiguracji komputera próbuje dokonać jakiś zewnętrzny program. Za program zewnętrzny uznawany jest taki, który nie posiada specjalnego cyfrowego certyfikatu. Rafael Rivera znalazł sposób na obejście tak skonfigurowanego UAC. Wystarczy zarazić komputer prostym skryptem, który będzie emulował naciśnięcie przez użytkownika kilku klawiszy, które spowodują wyłączenie UAC. Betatesterzy informowali już Microsoft o problemie. Na razie firma utrzymuje, że to nie błąd, a działanie UAC zostało celowo zaprojektowane w ten sposób. Nie wiadomo zatem, czy w kolejnych edycjach Windows 7 cokolwiek zostanie z tym zrobione.

Jeden ze specjalistów ds. bezpieczeństwa pokazał sposób na zainfekowanie Windows Visty przy użyciu słabości UAC (User Account Control). Robert Paveza wykorzystał niedociągnięcia, na które Microsoftowi zwracała uwagę Joanna Rutkowska. W opublikowanym dokumencie opisuje jak zainfekować system wykorzystując do tego celu konto z ograniczonymi uprawnieniami. Pokazana przez Pavezę metoda korzysta z faktu, że nawet w przypadku kont z ograniczonymi uprawnieniami niektóre z programów mają uprawnienia wyższe, co pozwala na korzystanie im z części procesów systemowych. Paveza zapewnia, że maszynę z Vistą na pokładzie można zarazić np. podsuwając użytkownikowi do pobrania odpowiednio spreparowanego klona popularnej gry "Pac-Man”. Microsoft oświadczył, że atak nie jest tak łatwy do przeprowadzenia, jak twierdzi Paveza. Użytkownik musi przede wszystkim dokonać wielu czynności, które go umożliwią. Ponadto należy pamiętać o oświadczeniu, jakie w lutym wydał Mark Russinovich. Odpowiadając na wszelkie zarzuty pod adresem mechanizmów UAC i Protected Mode IE stwierdził, że nie są to mechanizmy zabezpieczające, nie można więc im zarzucać, że są dziurawe.

Microsoft przyznaje, że teoretycznie możliwe jest zdalne wydanie systemowi Windows Vista poleceń głosowych za pomocą np. pliku audio umieszczonego na stronie WWW. Firma uspokaja jednak, że scenariusz taki jest mało prawdopodobny, a atak nie jest groźny. By do niego doszło opcja wydawania komend głosowych musiałaby najpierw zostać skonfigurowana i aktywowana przez użytkownika. Ponadto musiałyby być włączone głośniki i mikrofon. System mógłby zareagować na proste pojedyncze komendy, takie jak "kopiuj”, "usuń”, "zamknij system”. Microsoft twierdzi, że scenariusz taki jest mało prawdopodobny i nie niesie ze sobą zagrożenia, gdyż zastosowana technologia UAC (User Account Control) uniemożliwia wydawanie głosem komend, dostępnych administratorowi systemu. Ze zdaniem Microsoftu nie zgadza się Symantec. Przedsiębiorstwo to mówi, że jeden z uczestników listy mailingowej Daily Dave poinformował, że za pomocą komend głosowych udało mu się pobrać i uruchomić plik pochodzący z Internetu. Koncern z Redmond bada sprawę, nie informuje jednak kiedy i jak ma zamiar zabezpieczyć system.