LUK
02-02-2009, 16:39
El Control de Cuentas de Usuario (UAC) presente en Windows Vista, fue una de las características criticadas por los usuarios ante la gran cantidad de acciones que necesitaban autorización.
Estas quejas generalizadas han llevado a Microsoft a permitir en Windows 7 la configuración del nivel de alertas, lo que puede dar como resultado graves problemas de seguridad.
En los últimos días, blogs como Within Windows (http://www.withinwindows.com/2009/01/30/malware-can-turn-off-uac-in-windows-7-by-design-says-microsoft/) han informado y demostrado como se puede variar la configuración del UAC mediante código malicioso, hasta conseguir desactivarlo. El usuario no se entera debido a la configuración por defecto presente en Windows 7 (no avisarme cuando haga cambios en la configuración de Windows), por lo que el atacante puede cambiar los archivos del sistema y adueñarse de la máquina:
http://img530.imageshack.us/img530/3593/uacslidernt4.jpg
La respuesta de Microsoft ante este problema no ha sido demasiado satisfactoria y un portavoz indicó que “esto no es una vulnerabilidad. La intención de esta configuración por defecto de UAC es que no se pida autorización al usuario a la hora de realizar cambios en la configuración de Windows, que incluye cambiar la configuración del mismo UAC”.
Es decir que la configuración del control de cuentas en 7 obedece al propio “diseño del sistema”. Sarcásticamente, la única solución parece ser volver a la configuración que ofrecía Vista, con sus molestias añadidas que acababan con la paciencia de la mayoría de usuarios que desactivaban directamente esta medida de seguridad.
Quedan unos meses para la versión final y si Microsoft no lo remedia, nos tememos que el UAC seguirá haciendo de las suyas, ahora por distintas razones que en Vista.
Enlaces:
Within Windows (http://www.withinwindows.com/2009/01/30/malware-can-turn-off-uac-in-windows-7-by-design-says-microsoft/)
Estas quejas generalizadas han llevado a Microsoft a permitir en Windows 7 la configuración del nivel de alertas, lo que puede dar como resultado graves problemas de seguridad.
En los últimos días, blogs como Within Windows (http://www.withinwindows.com/2009/01/30/malware-can-turn-off-uac-in-windows-7-by-design-says-microsoft/) han informado y demostrado como se puede variar la configuración del UAC mediante código malicioso, hasta conseguir desactivarlo. El usuario no se entera debido a la configuración por defecto presente en Windows 7 (no avisarme cuando haga cambios en la configuración de Windows), por lo que el atacante puede cambiar los archivos del sistema y adueñarse de la máquina:
http://img530.imageshack.us/img530/3593/uacslidernt4.jpg
La respuesta de Microsoft ante este problema no ha sido demasiado satisfactoria y un portavoz indicó que “esto no es una vulnerabilidad. La intención de esta configuración por defecto de UAC es que no se pida autorización al usuario a la hora de realizar cambios en la configuración de Windows, que incluye cambiar la configuración del mismo UAC”.
Es decir que la configuración del control de cuentas en 7 obedece al propio “diseño del sistema”. Sarcásticamente, la única solución parece ser volver a la configuración que ofrecía Vista, con sus molestias añadidas que acababan con la paciencia de la mayoría de usuarios que desactivaban directamente esta medida de seguridad.
Quedan unos meses para la versión final y si Microsoft no lo remedia, nos tememos que el UAC seguirá haciendo de las suyas, ahora por distintas razones que en Vista.
Enlaces:
Within Windows (http://www.withinwindows.com/2009/01/30/malware-can-turn-off-uac-in-windows-7-by-design-says-microsoft/)