Leyendo el libro de Máxima Seguridad en Windows: Secretos técnicos escrito por Sergio de los Santos, estoy descubriendo detalles técnicos muy curiosos sobre cómo funciona la seguridad en Windows 7. Relativo al UAC (User Account Control) que tanto ha dado que hablar en los sistemas Windows Vista “según muchos usuarios, aquella ventanita molesta que no dejaba trabajar a los usuarios”, existe una que os quiero contar.
Una de las nuevas funcionalidades que incorporaba Windows Vista era el denominado UAC. A grandes rasgos, es la funcionalidad encargada de controlar la elevación de privilegios por parte de aplicaciones o servicios. UAC en Windows 7, dispone de cuatro niveles de seguridad dependiendo de grado de seguridad que se le quiera asignar a los usuarios.
En la siguiente captura se puede observar el panel de configuración de niveles de UAC, tal y como viene Windows 7 por defecto.
Autoelevación:
Una de las diferencias que existen entre la configuración por defecto en Windows 7 del UAC y su máximo grado de seguridad, es la existencia de una lista blanca que contienen aplicaciones que se podrán elevar a niveles de Administrador sin pedir permisos al usuario final. A esta característica se le denomina Autoelevación.
Un claro ejemplo de aplicación que se encuentra en dicha lista blanca es el Administrador de tareas de Windows “taskmgr.exe”, donde siendo usuario Administrador nos permite elevar privilegios para “Mostar procesos de todos los usuarios” sin la necesidad de darle permisos al UAC.
![clip_image002[4]](http://www.windowstecnico.com/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/windowstecnico/clip_5F00_image0024_5F00_thumb_5F00_53C23044.jpg "clip_image002[4]")
Dicha característica es utilizada por algunos tipos de malware para directamente inyectarse en el proceso en memoria y poder elevar privilegios gracias a dicha “lista blanca”.
¿Cómo saber qué aplicaciones se encuentran en dicha lista?
Para detectar si un binario se encuentra en dicha lista, podemos identificarla mediante la información contenida en su manifiesto. Existe una característica de compilación llamada “autoElevate” que si está activada “true” indica si dicha aplicación tiene permisos para elevar privilegios sin pasar por el UAC.
Para buscar que aplicaciones contienen dicha característica podemos realizarlo mediante el comando “findstr”.
En la siguiente captura se pude observar la detección de aplicaciones con “autoElevate” en el directorio “C:\Windows\System32\”, redirigida a un fichero llamado “app_autoElevate.txt”
Comando: findstr "<autoElevate>true</autoElevate>" C:\Windows\System32\* 2> NUL 1> app_autoElevate.txt
Si abrimos el fichero “app_autoElevate.txt” con un editor de texto observaremos todas las aplicaciones que permiten auto-elevación en el directorio “C:\Windows\System32\” sin pedir permiso al usuario.
Entre otras aplicaciones podemos observar “taskmgr.exe” en la lista de aplicaciones que nos devuelve.
Este es un claro ejemplo de la necesidad de aplicar la máxima seguridad de UAC en tu Windows 7. De este modo, cualquier malware que se inyecte en la memoria de cualquier aplicación que disponga de la característica “autoElevate”, pedirá confirmación al usuario antes de elevar privilegios.
Esto es una pequeñísima parte de lo que puedes aprender gracias al libro de Máxima Seguridad en Windows: Secretos técnicos escrito por Sergio de los Santos.
Por último, recordaros que podéis suscribiros a nuestro RSS para estar al día de las novedades concernientes a los productos de Microsoft.
Enviado
oct 27 2011, 04:18
por
Daniel Romero