UAC-correctie in Windows 7 maakt beveiligingslek, Blogger zegt

Een wijziging die Microsoft in Windows 7 heeft aangebracht om de controversiële beveiligingsfunctie voor gebruikersaccountbeheer te verbeteren, heeft het nieuwe besturingssysteem minder veilig gemaakt, volgens een blogger die Microsoft van dichtbij volgt.

Microsoft heeft de wijziging in UAC doorgevoerd, een functie die werd geïntroduceerd met Windows Vista, om hem gebruiksvriendelijker te maken in Windows 7. Maar de wijziging heeft "een eenvoudige maar ingenieuze override" mogelijk gemaakt die UAC zonder enige actie van de kant van de gebruiker uitschakelt, volgens de I Started Something blog geschreven door Microsoft Longwatcher Long Zheng.

Microsoft heeft UAC aan Vista toegevoegd om de beveiliging te verbeteren en mensen die de primaire gebruikers van een pc zijn meer controle te geven over de applicaties en instellingen. UAC voorkomt dat gebruikers zonder beheerdersrechten ongeoorloofde wijzigingen in een systeem kunnen aanbrengen. Maar vanwege de manier waarop het is ingesteld in Vista, verhindert UAC soms zelfs bevoegde gebruikers toegang te hebben tot toepassingen en functies waartoe ze normaal toegang zouden moeten hebben.

Het doet dit via een reeks schermprompts die de gebruiker vragen om te verifiëren privileges, en het kan vereisen dat ze een wachtwoord invoeren om een ​​taak uit te voeren. Dit kan de werkstroom van mensen onderbreken, zelfs tijdens een aantal alledaagse taken, tenzij ze zijn ingesteld als lokale beheerder. De UAC-prompts werden zo problematisch dat Apple ze zelfs in een tv-commercial had vervalst, en Microsoft beloofde de functie in Windows 7 te verbeteren. Windows 7 is nog steeds in bèta en zal naar verwachting niet eerder dit jaar of begin volgend worden verzonden. Microsoft bracht eerder deze maand de bètaversie uit en zette de veranderingen in UAC op het Engineering Windows 7-blog uiteen.

Volgens de Zheng-update is de standaardinstelling van de UAC herzien, en dat is waar het beveiligingsrisico ligt.

Zoals hij heeft uitgelegd in zijn post is de standaardinstelling van UAC in Windows 7 "Stuur me alleen een melding wanneer programma's wijzigingen proberen aan te brengen op mijn computer" en "Waarschuw me niet wanneer ik wijzigingen aanbreng in Windows-instellingen."

UAC maakt onderscheid tussen een derde -party-programma en een Windows-instelling met een beveiligingscertificering en items in het regelpaneel zijn ondertekend met dit certificaat, zodat ze geen prompts geven als een gebruiker de systeeminstellingen wijzigt, schreef hij.

In Windows 7 veranderde echter de UAC wordt volgens Zheng beschouwd als een "wijziging van Windows-instellingen". Dit, in combinatie met het nieuwe standaard UAC-beveiligingsniveau, betekent dat een gebruiker niet wordt gevraagd als er wijzigingen in de UAC worden aangebracht, ook als deze is uitgeschakeld.

Met enkele sneltoetsen en een aantal codes zei Zheng dat hij UAC op afstand kan uitschakelen zonder dat de eindgebruiker het weet.

"Met de hulp van mijn ontwikkelaar side-kick Rafael Rivera, kwamen we met een volledig functionele proof-of-concept in VBScript (zou net zo gemakkelijk zijn in C ++ EXE) om dat te doen - emuleer een paar toetsenbordinputs - zonder UAC te vragen, "schreef hij. "Je kunt het hier downloaden en uitproberen, maar onthoud dat het in feite de UAC uitschakelt." Zheng heeft ook geposteerd wat hij zei dat een oplossing is voor het probleem op zijn blog.

Microsoft zei op vrijdag via haar PR-bedrijf dat zij het probleem onderzocht en niet onmiddellijk commentaar leverde.