Microsoft heeft na veel kritiek op de als irritant ervaren User Account Control (UAC) van Vista dit controlesysteem bewust standaard een stuk minder streng afgesteld in Windows 7. Maar daarin lijkt Redmond te zijn doorgeslagen, zodat nu kwaadaardige code de gebruikersbeveiliging simpelweg uit kan zetten om daarna mogelijk de pc geheel over te nemen. Dat stelt beveiligingsexpert Rafael Rivera in een posting op zijn blog.

De UAC werd met Windows Vista geïntroduceerd en verplicht gebruikers met een popup-scherm handelingen te bevestigen om zo de verspreiding van kwaadaardige software tegen te gaan. Maar gebruikers werden wel erg vaak met de melding om de oren geslagen. In Windows 7 staat de functionaliteit daarom minder streng ingesteld ten faveure van gebruiksvriendelijkheid.

Juist dat verhogen van de gebruiksvriendelijkheid is nu precies het probleem. Rivera ontdekte dat er geen controleslag wordt uitgevoerd voor het wijzigen van het beveiligingsniveau van de UAC.

Door de toetsaanslagen voor het naar beneden bijstellen in een script te zetten kan iedere virusschrijver volgens hem dan ook de beveiliging omzeilen en vervolgens de hele computer kapen, door bijvoorbeeld na het monddood maken van de UAC malware in de startup folder van Windows te plaatsen. Als bewijs schreef Rivera een simpel VBScript, dat volgens hem door een 12-jarig kind te maken is. De code stelt de UAC op een lagere stand in.

Webwereld heeft de werking van de code geverifieerd. Bij uitvoer ervan ziet het 'slachtoffer' ineens het UAC venster verschijnen en vervolgens het beveiligingsschuifje een stap naar beneden gaan. Met wat uitgebreidere code is deze actie volgens hem ook nog te verbergen, zodat de gebruiker niets doorheeft tot ineens de pc automatisch herstart.

Het kwaadaardige script kan dus zijn werk doen zonder dat de gebruiker de wijzigingen in het beveiligingsniveau hoeft goed te keuren. Vorige jaar moest Microsoft nog een out-of-band update beschikbaar stellen, omdat er actief van een lek misbruik maakte. Juist Vista bleek toen beschermd door de UAC-waarschuwing.

Geen bug, maar een feature Rivera was niet de eerste die de zwakheid in het systeem ontdekte. Diverse gebruikers hebben het probleem al richting Microsoft aangegeven via de website voor bètatesters. De meldingen werden echter allemaal gesloten met het bericht dat het systeem bewust zo ontworpen was.

Onderzoeker Long Zheng kreeg van Microsoft nog eens expliciet te horen dat het probleem geen fout is. Het lijkt dan ook onwaarschijnlijk dat Microsoft de UAC van Windows 7 zal aanpassen voor de definitieve versie.

Om veilig te zijn voor de kwaadaardige code raadt Rivera aan om het schuifje van de UAC helemaal naar boven - op de strengste stand - te zetten. Maar daarmee wordt de gebruiker wel weer om de haverklap met pop-ups om bevestiging gevraagd.

Bron: Webwereld Bron: Techworld