UAC w Viście furtką dla malware?

Mechanizm User Account Control, który miał znacząco poprawić bezpieczeństwo nowego systemu Microsoftu, jest przy okazji furtką mogącą umożliwić autorom malware zdobycie uprawnień administratora.
Znana na całym świecie z prześwietlania zabezpieczeń Visty Joanna Rutkowska doniosła o swoim najnowszym odkryciu, mogącym wydatnie wpłynąć na zmniejszenie bezpieczeństwa używania systemu UAC.

Rutkowska odkryła, że UAC automatycznie nadaje każdemu programowi instalacyjnemu uprawnienia administratora – niezależnie od tego, czy użytkownik chce zainstalować pakiet biurowy, czy też zwykłego, ściągniętego z sieci Tetrisa.

Problem polega na sposobie, w jaki UAC rozpoznaje instalatory: z jednej strony opiera się na bazie danych, z drugiej – korzysta z algorytmów heurestycznych, z których jeden polega na sprawdzaniu, czy uruchamiany plik ma w nazwie wyrażenie „setup”.

Przypisanie uprawnień administratora do każdego pliku instalacyjnego stawia użytkowników przed bardzo ograniczonym wyborem: albo zgodzą się na nadanie praw uruchamianemu plikowi, albo nie zostanie on uruchomiony wcale. Taki mechanizm może zostać wykorzystany przez twórców malware, którzy po umieszczeniu w nazwie pliku wyrażenia „setup” będą musieli tylko skłonić w jakiś sposób użytkownika do jego uruchomienia.

Programy uruchomione z uprawnieniami administratora mogą nie tylko modyfikować pliki systemowe oraz rejestr, ale także na przykład ładować sterowniki kernela.

Dodaj komentarz