Уязвимости и недостатки User Accoun Control (UAC)

По словам представителей Symantec, атаки на Windows Vista, основанные на повышении привилегий – всего лишь дело времени...

Попытки Microsoft обеспечить обратную совместимость со старыми приложениями в новой операционной системе Windows Vista открывают двери для различных хакеров, как было предположено в исследовании Symantec, посвященном защите учетных записей пользователей.
Мэтью Коновер, главный секьюрити-аналитик компании Symantec, написал в данном исследовании, что он ожидает обнаружить несколько уязвимостей, которые могут быть использованы в атаках, при которых атакующий повышает свои права до администратора.
"Разработчикам Windows Vista пришлось выбирать лучший способ, как улучшить модель безопасности системы, но при этом обеспечить обратную совместимость. В то время, как многие из принятых решений кажутся действительно разумными, два из них ведут к серьезным уязвимостям".

Новая операционная система Microsoft следует 'правилу минимальных привилегий', говорящему, что пользователь при работе в ОС должен иметь стандартные привилегии и только при крайней необходимости получать повышенные права. Такой подход предполагает, что доступ к дополнительным возможностям только увеличивает риск проникновения эксплойтов.
Лучший способ для вредоносного ПО обмануть новую систему – получить дополнительные привилегии, иначе говоря, получить повышенные права.
Атакующие, к примеру, нацелились на Internet Explorer, но на их пути будет препятствие в виде заметно сниженных прав. Даже если им удастся установить шпионское ПО, их вредоносный код не сможет получить доступ к ключевым элементам системы, таким как реестр или системным папкам. Это эффективно снижает угрозу от действий вредоносного ПО.
Тем не менее, в исследовании Symantec Коновер описал несколько вариантов, которые позволяют предоставить приложениям дополнительные привилегии, но только в ранних версиях Windows Vista Beta. С момента выхода Beta 2 данные уязвимости в системе безопасности были исправлены, но Коновер добавил, что, скорей всего, секьюрити-аналитики и авторы вредоносного ПО найдет новые уязвимости.
Он также предупредил о потенциальных уязвимостях в ключевом элементе Vista, разработанном для того, чтобы пользователь дал свое согласие в случае, если приложению требуются дополнительные права. Если здесь действительно есть уязвимость, атакующим легко удастся обмануть все без исключения преграды ОС.

"Это всего лишь дело времени и опыта атакующего, который, наверняка, сможет найти уязвимость, которой можно воспользоваться" – говорит Коновер.
Правило минимальных привилегий Windows Vista означает, что пользователь сможет работать только в учетной записи с заметно ограниченными правами.
Каждая версия Windows Vista имеет, по крайней мере, одну учетную запись Protected Administrator/Защищенного администратора. Все процессы, запущенные от лица такой учетной записи, запускаются с пониженными привилегиями, а пользователю, в свою очередь, каждый раз предлагается подтвердить свои намерения вводом пароля, когда приложение требует дополнительных прав.

Предыдущие версии Windows предлагали пользователю учетные записи администратора и стандартные учетные записи, но пользователям приходилось работать исключительно в режиме администратора, чтобы получить доступ к таким, казалось бы, стандартным возможностям, как изменение времени.
Symantec в своем исследовании утверждает, что большинство пользователей Windows Vista будут снова работать в режиме администратора, потому что такой тип учетной записи более легко конфигурируемый по сравнению со стандартной учетной записью.
Windows Vista также представляет функцию, известную как "принудительный контроль целостности". Данная возможность позволяет разграничивать приложения по рангу, что запрещает процессам с низким рангом взаимодействовать с процессами более высокого ранга. Процессы с низким рангом, такие как Internet Explorer, не смогут получить доступ к системной памяти или изменить ключ в реестре. В прошлом вредоносное ПО использовало подобный подход, чтобы запустить в системе произвольный код.
Исследование Symantec доступно на официальном сайте компании.

Источник: http://www.vnunet.com/
Перевод: deeper2k