El UAC por defecto en Windows 7 y el malware

Windows Técnico

Sindicación

Proximos HOLs

Loading...

Leyendo el libro de Máxima Seguridad en Windows: Secretos técnicos escrito por Sergio de los Santos, estoy descubriendo detalles técnicos muy curiosos sobre cómo funciona la seguridad en Windows 7. Relativo al UAC (User Account Control) que tanto ha dado que hablar en los sistemas Windows Vista “según muchos usuarios, aquella ventanita molesta que no dejaba trabajar a los usuarios”, existe una que os quiero contar.

Una de las nuevas funcionalidades que incorporaba Windows Vista era el denominado UAC. A grandes rasgos, es la funcionalidad encargada de controlar la elevación de privilegios por parte de aplicaciones o servicios. UAC en Windows 7, dispone de cuatro niveles de seguridad dependiendo de grado de seguridad que se le quiera asignar a los usuarios.

En la siguiente captura se puede observar el panel de configuración de niveles de UAC, tal y como viene Windows 7 por defecto.

image

Autoelevación:

Una de las diferencias que existen entre la configuración por defecto en Windows 7 del UAC y su máximo grado de seguridad, es la existencia de una lista blanca que contienen aplicaciones que se podrán elevar a niveles de Administrador sin pedir permisos al usuario final. A esta característica se le denomina Autoelevación.

Un claro ejemplo de aplicación que se encuentra en dicha lista blanca es el Administrador de tareas de Windows “taskmgr.exe”, donde siendo usuario Administrador nos permite elevar privilegios para “Mostar procesos de todos los usuarios” sin la necesidad de darle permisos al UAC.

clip_image002[4]

Dicha característica es utilizada por algunos tipos de malware para directamente inyectarse en el proceso en memoria y poder elevar privilegios gracias a dicha “lista blanca”.

¿Cómo saber qué aplicaciones se encuentran en dicha lista?

Para detectar si un binario se encuentra en dicha lista, podemos identificarla mediante la información contenida en su manifiesto. Existe una característica de compilación llamada “autoElevate” que si está activada “true” indica si dicha aplicación tiene permisos para elevar privilegios sin pasar por el UAC.

Para buscar que aplicaciones contienen dicha característica podemos realizarlo mediante el comando “findstr”.

En la siguiente captura se pude observar la detección de aplicaciones con “autoElevate” en el directorio “C:\Windows\System32\”, redirigida a un fichero llamado “app_autoElevate.txt”

image

Comando: findstr "<autoElevate>true</autoElevate>" C:\Windows\System32\* 2> NUL 1> app_autoElevate.txt

Si abrimos el fichero “app_autoElevate.txt” con un editor de texto observaremos todas las aplicaciones que permiten auto-elevación en el directorio “C:\Windows\System32\” sin pedir permiso al usuario.

image

Entre otras aplicaciones podemos observar “taskmgr.exe” en la lista de aplicaciones que nos devuelve.

Este es un claro ejemplo de la necesidad de aplicar la máxima seguridad de UAC en tu Windows 7. De este modo, cualquier malware que se inyecte en la memoria de cualquier aplicación que disponga de la característica “autoElevate”, pedirá confirmación al usuario antes de elevar privilegios.

image

Esto es una pequeñísima parte de lo que puedes aprender gracias al libro de Máxima Seguridad en Windows: Secretos técnicos escrito por Sergio de los Santos.

Por último, recordaros que podéis suscribiros a nuestro RSS para estar al día de las novedades concernientes a los productos de Microsoft.


Enviado oct 27 2011, 04:18 por Daniel Romero
Archivado en: ,,

Comentarios

ManelR escrito re: El UAC por defecto en Windows 7 y el malware
en 10-27-2011 20:53

Hola,

Leyendo este post se me ha ocurrido mirar qué configuración tengo en mi Win7 (SP1, English) ya que no lo había tocado nunca y he visto que a mi el TaskMgr me pide el password del administrador para elevarlo.

Entonces he mirado el "User Account Control Settings" y el valor predeterminado que tengo es el primero:

Always notify: Default - Always notify me when: a) Programs try to install software or make changes to my computer, b) I make changes to Windows settings.

Es decir, que el valor por defecto ha subido un pelín en SP1, ¿lo puedes comprobar?

El resto de valores de arriba a abajo son los siguientes:

Segundo: Always notify me (and do not dim my desktop) when:  a) Programs try to install software or make changes to my computer, b) I make changes to Windows settings.

Tercero: Notify me only when programs try to make changes to my computer (do not dim my desktop)

Cuarto: Never notify me when:  a) Programs try to install software or make changes to my computer, b) I make changes to Windows settings.

Hasta luego!

Pilar [PALEL] escrito re: El UAC por defecto en Windows 7 y el malware
en 10-28-2011 19:49

ManelR: en un W7 con SP1 integrado (instalación directa), sigue apareciendo, por defeto, el segundo nivel (de arriba/abajo).

Windows Técnico escrito UAC on Windows 7 Beta
en 01-03-2012 7:38

Una de los aspectos que más molestaban a los feroces críticos de Windows Vista era el User

Añadir un comentario

(requerido)  
(opcional)
(requerido)  
Recordarme
If you can't read this number refresh your screen
Enter the numbers above: