Ne bízzunk a Vistában!

A Windows Vistában megjelent User Account Control (UAC) olyan rendszer, mely figyelmezteti a felhasználót, ha egy adott alkalmazás vagy szolgáltatás rendszergazdai jogosultságokat igényel futásához – a felhasználó így maga dönthet arról, hogy megadja-e ezt neki, vagy sem. A Symantec egyik kutatója szerint azonban nem szabad teljesen megbízni a UAC-ben, mivel a rendszer sebezhető. Ollie Whitehouse, a sárga-fekete vállalat fejlett támadásokat kutató csapatának egyik tagja a múlt héten egy blogbejegyzésben taglalta, miként tud egy hacker egy állományt arra felhasználni, hogy hamis UAC párbeszédablakot nyisson meg a felhasználó előtt.

Milyen következményei lehetnek ennek? A támadó képessé válhat trójai programot telepíteni a Vista rendszerekre, aminek a felhasználó saját maga adja meg a jogot arra, hogy rendszergazdai jogosultságokkal fusson. Vagyis kvázi bármit megtehessen, akár botnetbe is szervezhető legyen az adott komputer.

Mindezt úgy tudja elérni, hogy egy DLL állományt juttat fel a rendszerre, a winchester azon részére, ahova a felhasználónak írásjoga van (még korlátozott, standard userként is); így a UAC nem riaszt. Ezt követően meghívja a RunLegacyCPLElevated.exe-t, ami az operációs rendszer hiteles része; ez futtatni fogja az ominózus .dll file-t. Emiatt a trükk miatt a későbbi UAC üzenet immár a Vista saját, zöld színével jelenik meg a felhasználó előtt, azt mutatva, hogy az állomány a rendszer saját része. Amint a felhasználó rákattint a Confirm gombra, az ártalmas kód máris rendszergazdai jogosultságokat kap.