martedì 03 febbraio 2009

Roma - A sollevare la questione ci ha pensato Long Zheng, sulle pagine (http://www.istartedsomething.com/20090130/uac-security-flaw-windows-7-beta-proof/) del suo blog Start Something. Che Microsoft abbia deciso di dare ascolto ai molti utenti che hanno giudicato lo User Account Control (UAC) di Vista un po' troppo invadente è ormai cosa (http://punto-informatico.it/2454820/PI/News/pdc2008-ed-ecco-voi-windows.aspx) nota: ma che nel farlo abbia potuto commettere un errore tale da compromettere del tutto la sicurezza del sistema operativo è la tesi sostenuta da Zheng assieme (http://www.withinwindows.com/2009/01/30/malware-can-turn-off-uac-in-windows-7-by-design-says-microsoft) a Rafael Rivera. Per dimostrarlo ha anche pubblicato un attacco proof-of-concept: programmandolo in VBScript.

La tesi di Zheng è la seguente. Il nuovo UAC non è più configurato per avvisare di qualunque modifica apportata al sistema, e attribuisce al software installato da Microsoft stessa dei certificati che dovrebbero garantire l'attivazione e disattivazione di certe caratteristiche dell'OS basandosi sul riconoscimento dei certificati. Il problema, spiega il blogger, è che anche l'UAC fa parte di questo meccanismo: se disabilitato l'utente non viene avvisato. E basta una combinazione di tasti digitata via script per farlo.

In pratica, tramite una serie di input, UAC si spegne da solo senza neppure mostrare una singola finestra di conferma. Per funzionare, l'utente attivo sulla macchina deve appartenere al gruppo degli Administrator: una circostanza neppure troppo rara, ma che pone appunto un limite a questa falla, visto anche che Microsoft ha già chiarito (http://www.istartedsomething.com/20090131/microsoft-dismisses-windows-7-uac-security-flaw-insists-by-design/) che non intende modificare alcunché di questo aspetto del suo sistema operativo di prossima uscita (http://blogs.msdn.com/e7/archive/2009/01/30/our-next-engineering-milestone.aspx) (e potrebbe essere più prossima (http://arstechnica.com/microsoft/news/2009/01/more-proof-that-microsoft-wants-windows-7-out-in-2009.ars) di quanto si sia fin qui prospettato).

È vero che un sistema di sicurezza che può essere messo fuori uso da un trucchetto come una combinazione di tasti di una tastiera virtuale è davvero (http://www.betanews.com/article/The_oldest_trick_in_the_book_literally_defeats_UAC_in_Windows_7/1233331396) una circostanza insolita, ma è altrettanto vero - come ricorda (http://www.informationweek.com/blog/main/archives/2009/02/windows_7_secur.html?cid=RSSfeed_IWK_ALL) InformationWeek - che un attacco del genere dovrebbe venire veicolato da un file arrivato da Internet, e che il sistema operativo dovrebbe comunque avvisare che si sta per eseguire del codice scaricato dalla rete e che dunque potrebbe non essere sicuro. Un livello di sicurezza in più, quindi, esiste già: e ci sono (http://www.dailytech.com/Windows+7+UAC+Leaves+Door+Open+for+Attacks/article14127.htm) anche altri espedienti che possono mettere al sicuro dalla vulnerabilità descritta da Zheng.

Innanzi tutto l'utente può, a suo piacimento, variare le impostazioni UAC per ripristinare una modalità simile a quella di Vista. Noiosa, probabilmente, con i suoi continui alert di sicurezza che interrompono il lavoro, ma efficace. In secondo luogo, ma questo è un obiettivo che dovrebbe essere quasi dato per scontato, si potrebbe evitare di lavorare (o usare il proprio PC per diletto) utilizzando un account Administrator: che è la modalità di default al termine dell'installazione, ma che buona norma vorrebbe disattivata non appena si terminano le normali procedure di manutenzione della macchina.

Luca Annunziata



Fonte: Punto Informatico (http://punto-informatico.it/2540287/PI/News/windows-meno-sicuro-scelta.aspx)

la scelta è stata fatta a causa degli utenti di vista, o meglio de quelli che non lo sanno manco usare -.-

Essendo ancora in codice beta credo si possa ancora intervernire per porre rimedio.
Comunque nell'immediato per risolvere il problema basta appunto impostare UAC al massimo livello e la questione non si pone più.
Inoltre per esperienza personale anche all'ultimo livello UAC è comunque meno invasivo di quello di Vista ...... non so perchè però l'impressione che ho io è questa.

Inoltre per esperienza personale anche all'ultimo livello UAC è comunque meno invasivo di quello di Vista ...... non so perchè però l'impressione che ho io è questa.

Di sicuro hanno diminuito le "richieste" dello UAC. Forse è per quello che ti sembra meno invasivo.

Ora non ho a portata di mano l'articolo dove se ne parla, se lo trovo lo posto :).

Ciao!

Di sicuro hanno diminuito le "richieste" dello UAC. Forse è per quello che ti sembra meno invasivo.

Ora non ho a portata di mano l'articolo dove se ne parla, se lo trovo lo posto :).

Ciao!

Ti ringrazio.

Ti ringrazio.

UAC (http://blogs.msdn.com/e7/archive/2008/10/08/user-account-control.aspx)

UAC - Quick update (http://blogs.msdn.com/e7/archive/2009/01/15/user-account-control-uac-quick-update.aspx)

UAC - Update (http://blogs.msdn.com/e7/archive/2009/02/05/update-on-uac.aspx)

UAC - Feedback and follow-up (http://blogs.msdn.com/e7/archive/2009/02/05/uac-feedback-and-follow-up.aspx)

A meno di bug dell'uac stesso (ma parliamo sempre di una beta...è bene anche che questi bug, ove ci siano, vengano scoperti per essere corretti.) basta impostare il livello massimo di "invasività" e ci ritroviamo col medesimo comportamento in Vista. Salvo qualche richiesta in meno...(ma che non incide negativamente sulla sicurezza)

Ciao!

.

L'UAC di Windows 7 RC 7100 risulta ancora fallato e bypassabile:
http://www.pretentiousname.com/misc/win7_uac_whitelist2.html

:sofico:

:rolleyes:

ribadisco: se la sono cercata...

Ghgh, no comento.

è solo la funzione siti familiari http://img03.picoodle.com/img/img03/3/12/1/f_snackm_eefe52c.gif (http://www.picoodle.com/view.php?img=/3/12/1/f_snackm_eefe52c.gif&srv=img03)

E comunque se imposto UAC al massimo livello NON dovrebbero esserci problemi ..... come nella beta .... giusto?

.

L'UAC di Windows 7 RC 7100 risulta ancora fallato e bypassabile:
http://www.pretentiousname.com/misc/win7_uac_whitelist2.html

:sofico:

Se è così è grave, cmq manca ancora il programma... dovrebbe farcelo avere per poterlo verificare.

I video appartengono alla build 7000.

Edit: questa è la lista degli eseguibili auto-elevabili ->

http://www.withinwindows.com/2009/05/02/short-windows-7-release-candidate-auto-elevate-white-list/

.

La gravità sta nel fatto che invece di andare avanti sono tornati indietro. Hanno voluto migliorare l'usabilità dell'UAC, ma con tutte le strade percorribili hanno scelto quella sbagliata.

sono sulla tua stessa linea di pensiero! :rolleyes:

La gravità sta nel fatto che invece di andare avanti sono tornati indietro. Hanno voluto migliorare l'usabilità dell'UAC, ma con tutte le strade percorribili hanno scelto quella sbagliata.

sono sulla tua stessa linea di pensiero! :rolleyes:

Questa è una vostra opinione, ma se fatto bene questo sistema non induce a rischi ulteriori.

Il problema principale è il code injection che non dovrebbe essere possibile in admin-approval mode, e invece lo è, così come tutti i vari hook delle DLL che Microsoft dovrebbe seriamente pensare di rimuovere.

Tanto per la cronaca la migliore protezione rimane cmq quella di girare con privilegi utente (il che fa in modo che UAC richieda la password, cosa cmq fattibile in admin approval mode).

E comunque se imposto UAC al massimo livello NON dovrebbero esserci problemi ..... come nella beta .... giusto?
ciao G1971B, si non ci saranno problemi :), nell'articolo l'attacco ha un suo effetto in quanto si basa sulla funzione raccomandata da microsoft per i siti o i programmi familiari ( questa è la definizione che fornisce microsoft nel pannello di controllo) che questa modalità fosse in qualche modo meno sicura era stato ampiamente previsto e l'utente stesso ne viene informato nella fase di scelta delle impostazioni del controllo account utente...:)
in realtà questa funzione è stata progettata solo con l'obbiettivo di ridurre il numero dei "consenti-nega" dello UAC attuale, che questa modalità fosse meno sicura dell'impostazione attuale su vista era cosa nota...anche il tipo di attacco era prevedibile
il comportamento che deve avere questa modalità è esattamente quello descritto nell'articolo...quindi non si tratta di un bug (inteso come una funzione inattesa ):) questa modalità è raccomandata solo per i siti sicuri, quindi microsoft ne sconsiglia l'uso in tutti gli altri casi

@ tutti
consiglio a tutti la lettura di questo vecchio articolo che dimostra da un lato perché non si possono considerare bug attacchi richiedenti accesso fisico al pc (vbootkit ecc :asd: ) dall'altro il fatto che se microsoft avesse dato retta ad alcuni ricercatori che parlavano di bug finiva che avremmo fatto fatica anche ad autenticarci :rotfl:
http://blogs.technet.com/feliciano_intini/archive/2007/06/14/Security-bug-nel-Repair-Mode-Recovery-Console-di-Vista-Ma-no.aspx

questo dimostra come chi parla di vulnerabilità ( ricercatori che non hanno lavorato sul SO) spesso non conoscono il SO nel suo complesso (o non tengono conto di tutte le variabili) e le possibili implicazioni di una scelta sul sistema in generale

.

ciao G1971B, si non ci saranno problemi :), nell'articolo l'attacco ha un suo effetto in quanto si basa sulla funzione raccomandata da microsoft per i siti o i programmi familiari ( questa è la definizione che fornisce microsoft nel pannello di controllo) che questa modalità fosse in qualche modo meno sicura era stato ampiamente previsto e l'utente stesso ne viene informato nella fase di scelta delle impostazioni del controllo account utente...:)
in realtà questa funzione è stata progettata solo con l'obbiettivo di ridurre il numero dei "consenti-nega" dello UAC attuale, che questa modalità fosse meno sicura dell'impostazione attuale su vista era cosa nota...anche il tipo di attacco era prevedibile
il comportamento che deve avere questa modalità è esattamente quello descritto nell'articolo...quindi non si tratta di un bug (inteso come una funzione inattesa ):) questa modalità è raccomandata solo per i siti sicuri, quindi microsoft ne sconsiglia l'uso in tutti gli altri casi

@ tutti
consiglio a tutti la lettura di questo vecchio articolo che dimostra da un lato perché non si possono considerare bug attacchi richiedenti accesso fisico al pc (vbootkit ecc :asd: ) dall'altro il fatto che se microsoft avesse dato retta ad alcuni ricercatori che parlavano di bug finiva che avremmo fatto fatica anche ad autenticarci :rotfl:
http://blogs.technet.com/feliciano_intini/archive/2007/06/14/Security-bug-nel-Repair-Mode-Recovery-Console-di-Vista-Ma-no.aspx

questo dimostra come chi parla di vulnerabilità ( ricercatori che non hanno lavorato sul SO) spesso non conoscono il SO nel suo complesso (o non tengono conto di tutte le variabili) e le possibili implicazioni di una scelta sul sistema in generale

Ti ringrazio.

Più che un'opinione è un dato di fatto



il problema è che non è fatto bene, infatti un malintenzionato potrebbe abusare di questo sistema delle trusted action



esatto, ed è così perchè lo hanno progettato così, quindi non è che non sapevano quello che facevano, ma è stata una loro scelta



certo, ma bisogna considerare la configurazione di default, cioè quella usata dall'utente medio. Poi è ovvio che se uno la hardenizza come meglio crede, ottiene un sistema più sicuro.

Beh affermare che sia meno sicuro per scelta è un po' azzardato non trovi? Spero cmq che sistemeranno anche questo problema, in particolare impedendo il code injection.

PS: ho letto da qualche parte che si profila una RC2 di Seven per agosto...

.

Anche se ciò non risolve il problema dell'usabilità almeno si salvano la faccia.

Personalmente avrei anche tolto la possibilità di disattivare UAC ..... altro che livelli diversi per venire incontro all'utonto che poi si lamenta se si ritrova il PC pieno di porcherie ....... UAC attivo .... PUNTO .

Il contrario significherebbe che hanno lavorato alla carlona, quindi non so cosa sia peggio :sofico:

Comunque dato che ormai Windows 7 è in RC, non possono fare grandi stravolgimenti, per cui la soluzione più semplice sarebbe quella di riportare l'UAC sul livello più alto di default. Anche se ciò non risolve il problema dell'usabilità almeno si salvano la faccia.

Beh non so le conseguenze che possa avere, ma la soluzione migliore sarebbe impedire il code injection anche in admin-approval mode, così come accade in modalità utente.

Dai non è vero che hanno lavorato alla carlona... :asd: il punto è che è difficile accontentare tutti, per questo hanno reso UAC regolabile.

Poi Sinofsky non è un'incompetente (Office 2007 lo dimostra).

Windows 7 UAC Code Injection Exploit Released

Source:http://www.pretentiousname.com/misc/W7E_Source/Win7Elevate_Inject.cpp.html
Download:http://www.pretentiousname.com/misc/Win7ElevateV2.zip
Guida all'uso:http://www.pretentiousname.com/misc/W7E_Source/win7_uac_poc_details.html

Ora che faranno, lo fixeranno o no?:rolleyes:

.

.

in particolare impedendo il code injection.


Più impossibile che improbabile

Ma utilizzando lo uac con il massimo livello di sicurezza (come su vista praticamente) e utente amministratore, si corre sempre questo problema? E con lo stesso livello per lo uac ma utente con privilegi limitati?
Grazie.

Ciao!

.

.

.

se imparasse chiunque ad usare vista come si deve forse non si lamenterebbe nessuno...

la colpa è solo loro...

e la microsoft FA BENE a non fixare i... "problemi" dell'uac (ma non ce n'è manco uno... se li saranno inventati quelli che non sanno usare vista...)

Windows 7's default UAC bypassed by 8 out of 10 malware samples (http://blogs.zdnet.com/security/?p=4825)

:fagiano:

Azz.....anche se il campione è estremamente ridotto siamo all'80 %.....c'è da stare tranquilli......

correlata:
Malware, Windows 7 non è la cura (http://punto-informatico.it/2745496/PI/News/malware-windows-non-cura.aspx) su punto informatico

Ecco appunto...la prima cosa che ho fatto su W7 è impostare l'UAC al max livello.
Ovviamante ho installato anche altri soft di sicurezza :cool:

mera pubblicità da parte di Sophos. Come dicono gli antichi: Nihil sub sole novum