Corrección UAC en Windows 7 crea agujero de seguridad, Blogger dice

Un cambio que Microsoft realizó en Windows 7 para mejorar su controvertida función de seguridad Control de cuentas de usuario ha dejado al nuevo sistema operativo menos seguro, según un bloguero que sigue de cerca a Microsoft.

Microsoft realizó el cambio a UAC, una característica que se introdujo con Windows Vista, para que sea más fácil de usar en Windows 7. Pero el cambio ha permitido "una anulación simple pero ingeniosa" que desactiva el UAC sin ninguna acción por parte del usuario, de acuerdo con el El blog I Started Something escrito por el observador de Microsoft Long Zheng.

Microsoft agregó UAC a Vista en un esfuerzo por mejorar su seguridad y brindar a las personas que son los principales usuarios de una PC más control sobre sus aplicaciones y configuraciones. UAC impide que los usuarios sin privilegios administrativos puedan realizar cambios no autorizados en un sistema. Pero debido a cómo se configuró en Vista, UAC a veces impide que incluso los usuarios autorizados puedan acceder a aplicaciones y funciones a las que normalmente deberían tener acceso.

Lo hace a través de una serie de mensajes en la pantalla que solicitan al usuario que verifique privilegios, y puede requerir que escriban una contraseña para realizar una tarea. Esto puede interrumpir el flujo de trabajo de las personas, incluso durante algunas tareas mundanas, a menos que estén configuradas como administrador local. Las solicitudes de UAC se volvieron tan problemáticas que Apple incluso las falsificó en un comercial de televisión, y Microsoft prometió mejorar la función en Windows 7.

Windows 7 todavía está en beta y no se espera que se despache hasta fines de este año o principios del próximo. Microsoft lanzó la versión beta a principios de este mes y describió los cambios a UAC en el blog de Ingeniería de Windows 7.

Los cambios revisan la configuración predeterminada de UAC, y ahí es donde reside el riesgo de seguridad, según Zheng.

Como explicó en su publicación, la configuración predeterminada de UAC en Windows 7 es "Notificarme solo cuando los programas intenten realizar cambios en mi computadora" y "No me notifique cuando realice cambios en la configuración de Windows".

UAC distingue entre un tercero -party program y una configuración de Windows con una certificación de seguridad, y los elementos del panel de control están firmados con este certificado para que no emitan avisos si un usuario cambia la configuración del sistema, escribió.

Sin embargo, en Windows 7, cambiando UAC se considera un "cambio a la configuración de Windows", según Zheng. Esto, junto con el nuevo nivel de seguridad UAC predeterminado, significa que no se le preguntará a un usuario si se realizan cambios en el UAC, incluso si está deshabilitado.

Con algunos atajos de teclado y algunos códigos, Zheng dijo que puede deshabilitar el UAC de forma remota sin que el usuario final lo sepa.

"Con la ayuda de mi desarrollador lateral Rafael Rivera, se nos ocurrió una prueba de concepto completamente funcional en VBScript (sería igual de fácil en C ++ EXE) para hacer eso - emular algunas entradas de teclado, sin preguntar UAC ", escribió. "Puede descargarlo y probarlo aquí, pero tenga en cuenta que realmente desactiva el UAC".

Zheng también publicó lo que dijo que era una solución para el problema en su blog.

Microsoft dijo el viernes a través de su firma de relaciones públicas que estaba investigando el problema y no tenía un comentario inmediato.