Vistas User Account Control wenig vertrauenswürdig

Die User Account Control (UAC) in Vista soll helfen, nicht-vertrauenswürdige Programme anhand eines Farbcodes bei der UAC-Meldung zu erkennen und ihnen gegebenenfalls keine Administratorrechte zu verleihen. Symantec-Forscher haben jetzt einen Weg aufgezeigt, wie sich das Vertrauensmodell unterlaufen lässt.

Beim Anfordern von Administratorrechten zeigt die UAC unterschiedliche Farben an: Ausführbare Dateien, die zu Vista gehören, erhalten einen grünlichen UAC-Prompt. Dateien, die der Herausgeber mit einem digitalen Zertifikat ausgestattet hat, erhalten eine gräuliche Meldung, während unbekannte Anwendungen einen UAC-Dialog mit gelber Farbe auslösen.

Wie Symantec ausführt, dient die bei Vista mitgelieferte Datei RunLegacyCPLElevated.exe dazu, auch ältere Systemsteuerungskomponenten auszuführen. Diese können an einem beliebigen Ort auf der Festplatte liegen. Ein Bedrohungsszenario stellt nun ein Schädling dar, der Code in einem Verzeichnis ablegt, in dem der Benutzer Schreibrechte besitzt. Da der Benutzer die nötigen Rechte besitzt, führt dies zu keiner Warnmeldung.

Diese Datei kann der Schädling mittels RunLegacyCPLElevated.exe aufrufen. Der Benutzer erhält einen grünlich gefärbten UAC-Prompt, dass eine Vista-Komponente erhöhte Rechte benötigt. Wenn der Benutzer das Farbmodell der UAC-Prompts kennt, könnte er sich möglicherweise darauf verlassen und gewährt dann dem Schädling Administratorrechte.

Microsoft relativierte jedoch bereits, dass die UAC-Meldungen keinen direkten Schutz bieten. Daher betrachtet man bei Microsoft derartige Fehler auch nicht als Sicherheitsproblem. Ob es einen Patch gegen diese Lücke geben wird, steht daher in den Sternen.

Siehe dazu auch:

• An Example of Why UAC Prompts in Vista Can’t Always Be Trusted, Eintrag in Symantecs Sicherheitsblog

(dmk)