Microsoft relativiert Vista-Sicherheitsfunktionen

In den vergangenen Monaten wurde Microsoft nicht müde, User Account Control (UAC) als eine der wichtigsten neuen Sicherheitsfunktionen in Windows Vista herauszustellen. Doch nachdem sich erste Risse im Konzept abzeichnen, war das alles anscheinend doch nicht ganz so gemeint. So erklärt Microsofts Mark Russinovich in einem langen Blog-Eintrag die Grenzen von UAC:

It should be clear then, that neither UAC elevations nor Protected Mode IE define new Windows security boundaries.

und weiter unten

Because elevations and ILs don't define a security boundary, potential avenues of attack, regardless of ease or scope, are not security bugs.

Weder UAC noch der Protected Mode des Internet Explorer definieren also neue Grenzen zwischen Sicherheitszonen. Und deshalb seien auch Möglichkeiten, sie zu umgehen, keine Sicherheitslücken, heißt es da. Das kann man durchaus auch so lesen: Sollte morgen jemand demonstrieren, wie sich UAC oder die Beschränkungen des IE ganz leicht umgehen lassen, ist das kein Sicherheitsproblem, und es wird auch keinen Patch dagegen geben. Ob Microsoft das tatsächlich so durchzieht, wird sich allerdings erst zeigen, wenn erste konkrete Demos oder gar Schädlinge mit derartigen Funktionen veröffentlicht werden.

Sicherheitsexpertin Joanna Rutkowska veranlasste es jedenfalls schon zur Frage, ob denn nun Vistas Security Model nur ein großer Scherz sei. Sie hatte kurz zuvor bereits darauf hingewiesen, dass ein Prozess der niedrigsten Integritätsstufe (Integrity Level Low), wie sie der IE standardmäßig hat, Events für Tastendrücke (WM_KEYDOWN) an einen Prozess auf höherer Stufe schicken und so beliebige Befehle mit dessen Privilegien ausführen könnte.

Siehe dazu auch:

• Running Vista Every Day! von Joanna Rutkowska
• PsExec, User Account Control and Security Boundaries von Mark Russinovich, Microsoft
• Vista Security Model - A Big Joke? von Joanna Rutkowska

(ju)