gulli: Vista User Account Control: Absicherung unsicher, sagt Symantec
26. Februar 2007

Vista User Account Control Absicherung unsicher, sagt Symantec

Ein Proof of Concept, wie trotz Userkontrolle via Vista User Account Control (UAC) ein Vista-User eine Malware mit Adminprivilegien untergejubelt werden kann, wurde von Symantec bekannt gegeben. Das Problem: die Farbschemata, mit denen Vista auf signierten bzw. nicht vertrauenswürdigen Code hinweist. Diese können prinzipiell manipuliert werden.

Als etwas umständlich, aber machbar betrachtet Ollie Whitehouse, Forscher bei Symantec den Angriff. Einem User ohne Adminprivilegien kann über die üblichen Wege - Mail, Angriff auf eine Sicherheitslücke einer Applikation usw. - ein Trojaner unterschoben werden.

Der Trojaner schreibt eine manipulierte .dll in das Verzeichnis des Nutzers, in dem dieser Schreibrechte hat. Anschließend ruft der Trojaner die "RunLegacyCPLElevated.exe" auf, die Datei, welche Abwärtskompatibilität zu früheren Versionen herstellt. Daraufhin wird dem Benutzer eine UAC-Warnung ausgegeben - die indessen im Standard-Grün gehalten ist, welches besagt, dass die anfragende Datei zum Betriebssystem gehört.

Bestätigt nun der User die Meldung via "Confirm", wird dem Code des Angreifers administrativer Zugriff auf den kompletten Rechner - die volle Kontrolle über die Maschine - gegeben, obgleich der User, welcher den Zugriff erlaubte, diese Rechte selbst nicht hat.

Whitehouse geht davon aus, dass Nutzer sich auf die Warnfarben Microsofts verlassen werden - und dem als zum Betriebssystem gehörenden Code naturgemäß den Zugriff auf den Rechner erlauben. Bei Microsoft gibt man sich schweigsam: offiziellen Kommentar erhielt Whitehouse nicht. Die UAC-Meldungen seien nicht als eigentliche Sicherheitsmaßnahme gedacht, kommentiert Whitehouse - sie dienen nur dazu, dass der User nochmals die Möglichkeit hat, eine Aktion zuzulassen oder abzulehnen.

Das Problem sind indessen die Warnlevel, die via Farbcode ausgegeben werden. Dem User wird suggeriert, hier überprüfe ein vertrauenswürdiger Sicherheitsmechanismus, ob Code schädlich ist oder nicht. Tatsächlich ist der Sicherheitsmechanismus nicht vertrauenswürdig - und der User lernt allenfalls, blind Systemmeldungen Vertrauen zu schenken - schließlich warnen sie ja auch gelegentlich vor echten Gefahren.

Suche

RSS

gulli rss gulli News abonnieren
Add to Google
gulli:news feedburner stats
Wie funktioniert RSS?

AKTION

Wir haben bezahlt!
Für günstige, legale und DRM-freie Musik.

Napping

Das Beste von gulli auch auf deiner Seite?
Newsfeed abonnieren  news feed
Suche auf deiner Seite  suchbox
Banner und Buttons  banner & buttons

Support

Rettet das Internet

Piratenpartei Österreich

Piratenpartei Deutschland

© COPYRIGHT 2006 GULLI.COM