Blogger: Windows 7 UAC Feature Still Vulnerable

El blogger de Microsoft que primero llamó la atención sobre una vulnerabilidad de seguridad en la característica Control de cuentas de usuario (UAC) de Windows 7 afirma que todavía existe y que Microsoft no lo arreglará, incluso si la empresa se acerca a la finalización del código final en el sistema operativo.

Long Zheng, que escribe el popular blog "I Started Something", ha publicado un video en línea que muestra cómo UAC, una característica de seguridad presentada por primera vez en Windows Vista que establece privilegios de usuario en una PC Windows 7, puede ser explotado.

Zheng también apuntó a un documento instructivo del Becario Técnico de Microsoft, Mark Russinovich, que intenta explicar el UAC, diciendo que claramente establece que Microsoft no tiene intención de arreglar un cambio que hizo en el UAC en Windows 7 que deja el nuevo sistema operativo menos seguro porque le permite a alguien apagar remotamente la característica sin que el usuario lo sepa.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

Zheng primero señaló este cambio y su vulnerabilidad en febrero. En ese momento dijo que la nueva configuración predeterminada del "usuario estándar" de UAC, que no notifica a un usuario cuando se realizan cambios en la configuración de Windows, es donde reside el riesgo de seguridad. Un cambio a UAC se ve como un cambio en una configuración de Windows, por lo que no se notificará a un usuario si UAC está deshabilitado, lo que Zheng dijo que podía hacer de manera remota con algunos atajos de teclado y código.

UAC ha sido un tema controvertido desde que Microsoft lo introdujo en Windows Vista para mejorar su seguridad y brindar a las personas que son los usuarios principales de una PC más control sobre sus aplicaciones y configuraciones. Las características previenen a los usuarios sin privilegios administrativos de realizar cambios no autorizados en un sistema.

En el documento de Russinovich, reconoce que las observaciones de Zheng y otros sobre cómo el software de terceros puede usar la característica para obtener derechos administrativos en una PC es precisa.

Sin embargo, según la publicación de blog de Zheng, Russinovich pareció descartar esta posibilidad de ejecución remota de código y no ofrecer ninguna solución, porque dijo que hay otras formas de que el malware ingrese al sistema a través de las indicaciones UAC.

"La observación de seguimiento es que el malware podría obtener derechos administrativos utilizando las mismas técnicas", escribió Russinovich. "De nuevo, esto es cierto, pero como señalé anteriormente, el malware también puede comprometer el sistema a través de elevaciones provocadas. Desde la perspectiva del malware, el modo predeterminado de Windows 7 no es más o menos seguro que el modo Always Notify (" Modo Vista "), y el malware que asume derechos administrativos aún se romperá cuando se ejecute en el modo predeterminado de Windows 7."

Microsoft no respondió oficialmente a una solicitud de comentario sobre la reclamación y la publicación de video de Zheng. Sin embargo, un vocero de la compañía dijo en privado que Zheng pudo malinterpretar el documento de Russinovich.

"El punto me parece que hace más difícil que el malware llegue al sistema en primer lugar, al ayudar al usuario final a tomar mejores decisiones a través del pide que obtengan, y que cada vez más usuarios se ejecuten en modo de usuario estándar frente a modo de administrador (porque el modo de administración es lo que expone a su máquina a riesgos) ", dijo el vocero, quien pidió no ser identificado, por correo electrónico.

Microsoft había mantenido el cambio a la configuración predeterminada de UAC cuando Zheng hizo su primer reclamo de vulnerabilidad, diciendo que la característica no puede ser explotada a menos que ya haya código malicioso ejecutándose en la máquina y "algo más ya haya sido violado".

Microsoft ha dicho que Windows 7, actualmente en versión de vista previa, estará disponible tanto para empresas como para consumidores el 22 de octubre. El lanzamiento para la fabricación del sistema operativo, en el que todo el código será definitivo, se espera para fines del mes próximo.