Symantec warnt vor Fehler in Windows Vistas UAC

Die Benutzerkontensteuerung von Windows Vista, die das System sicherer machen soll, kann laut einem Forscher von Symantec zu einem Sicherheitsrisiko werden. Aus diesem Grund sollte den Meldungen, die von dem Dienst ausgegeben werden, nicht immer vertraut werden. Die Benutzerkontensteuerung nutzt verschiedene Farben um darzustellen, wie vertrauenswürdig eine Quelle ist, deren Programm gerade ausgeführt wird. Grün bedeutet, die ausführbare Datei ist Teil des Betriebssystem, blau-grau heißt, die Datei stammt von einem Dritthersteller und enthält eine digitale Signatur. Gelb-orange dagegen bedeutet, dass nicht genau gesagt werden kann, wo die Datei herstammt und man sie besser nicht ausführen sollte. Tauchen rote Warndialoge auf, wurde die Ausführung geblockt.

An einem Beispiel zeigt der Symantec-Mitarbeiter nun, wie dieses System manipuliert werden kann. Demnach platziert ein Trojaner, der beispielsweise via E-Mail auf das System gelangt ist, eine DLL-Datei in einem Ordner, auf den der Nutzer Zugriff hat. Hier erscheint keine Warnmeldung, denn die entsprechenden Rechte hat der User.

Anschließend ruft der Trojaner die Systemdatei "RunLegacyCPLElevated.exe" auf, die dafür verantwortlich ist, dass auch alte Windows Control Panel Plug-Ins genutzt werden können. Diese Anwendung ruft nun die vorher platzierte DLL-Datei auf und führt den darin enthaltenen Code aus. Vorher taucht allerdings die Meldung der UAC auf, da dafür Administratorrechte benötigt werden.

Statt eine gelb-orange Meldung zu präsentieren, ist die Box lediglich grün, da es sich ja um eine Systemdatei handelt, der vertraut werden kann. Der Anwwender wird in den meisten Fällen nicht weiter darüber nachdenken und die Ausführung zulassen.

Symantec gesteht ein, dass dieses Szenario immer eine Benutzeraktivität voraussetzt und deshalb nicht automatisiert ablaufen kann. Dennoch wird dieses Problem als Sicherheitslücke betrachtet, da es nicht unwahrscheinlich ist, das es in die Tat umgesetzt wird.