UAC y Windows 7. Microsoft escucha.

Hace no mucho hablaban en kriptópolis sobre un fallo de seguridad en la configuración del UAC en Windows 7 que permitía a cualquier programa malicioso cambiar la configuración del UAC sin avisar al usuario, hasta desactivarlo, y por tanto poner en peligro todo el sistema.

Inicialmente en el blog de desarrollo de Windows 7 se descolgaron diciendo que:

Microsoft’s position that the reports about UAC do not constitute a vulnerability is because the reports have not shown a way for malware to get onto the machine in the first place without express consent

que traducido viene a ser que eso no es una vulnerabilidad porque los informes no han mostrado aún una forma de infiltrar malware en una máquina si que se le de consentimiento expreso... lo cual, a decir verdad, nos sonaba a todos como excusa barata.

Por suerte, en un movimiento tardío pero en mi opinión muy acertado, tras recibir bastantes feedback negativos, parece que se han echado atrás y han decidido que, efectivamente, constituye una vulnerabilidad:

we are going to deliver two changes to the Release Candidate that we’ll all see. First, the UAC control panel will run in a high integrity process, which requires elevation. That was already in the works before this discussion and doing this prevents all the mechanics around SendKeys and the like from working. Second, changing the level of the UAC will also prompt for confirmation.

Es decir, en primer lugar el UAC apartir de la release candidate pasará a ejecutar como un proceso de alta integridad, lo cual significa que no se puede atacar con procedimientos comunes (como el SendKeys que permite mandar pulsaciones de teclado a la aplicación) y por otro, TODA acción sobre el UAC que requerirá una elevación de privilegios.

Es sin duda una noticia excelente, por un lado por el fallo de seguridad que, en efecto, consituía el tipo de funcionamiento anterior, y por otro por comprobar que la gente de Microsoft, responde y tiene muy encuenta los comentarios que recibe de sus usuarios.

0
No votes yet
Your rating: None