martes, diciembre 15, 2009

Control de Cuentas de Usuario (IV de VI)

************************************************************************************************
- Control de Cuentas de Usuario (I de VI)
- Control de Cuentas de Usuario (II de VI)
- Control de Cuentas de Usuario (III de VI)
- Control de Cuentas de Usuario (IV de VI)
- Control de Cuentas de Usuario (V de VI)
- Control de Cuentas de Usuario (VI de VI)
************************************************************************************************

El cambio en Windows 7

UAC en Windows 7 ha mejorado con respecto a Windows Vista, como era de esperar. Windows 7, con el kernel 6.1, se aprovecharon de todos los estudios de telemetría que se han realizado durante estos tres años con Windows Vista para poder optimizar los componentes del sistema operativo. Así por ejempolo, se ha reducido la carga en el consumo de CPU que tenían ciertas acciones en Windows Vista y, entre otras muchas cosas, se ha refinado aun más la refactorización de funcionalidades haciendo que UAC salte un poco menos, si es posible.

Un poco menos es un poco menos, aunque muchos recién llegados a Windows 7 piensen que el cambio entre Windows Vista se debe a una gran mejora en esta área, la respuesta es que se debe también a otros factores y no tanto a esta optimización. Lógicamente esta mejora en la refactorización ha ayudado pero el incremento se ha notado en la adecuación continua de las aplicaciones de terceros al entorno de trabajo de los nuevos kernels, como se vio en la parte anterior de esta serie, y al nuevo modo por defecto de Windows 7 para UAC. Ambos hacen que la sensación para muchos usuarios es que “antes estaba mal y ahora se ha arreglado”, lo que es un error de apreciación grave.

Modos UAC en Windows 7

La configuración de UAC en Windows 7 ha cambiado del original Activar/Desactivar de Windows Vista a una configuración basada en 4 niveles a los que yo, cariñosamente llamo Modo Windows Millenium, Modo Windows XP, Modo Windows Vista y Modo Windows 7.

El Modo Windows Millenium es equivalente a desactivar UAC, en este entorno no vas a recibir ninguna alerta cuando hagas uso de tus privilegios administrativos, nunca, ni cuando estés wipeando tu kernel con cariño y sin amor. Esto es lo que los “hax0rs” suele configurar cuando quiere Pwnear su propia máquina en casa.

El Modo Windows XP le permitirá a tus privilegios se utilizado para todo menos para el suicidio y la eutanasia. Sólo se recibirán avisos UAC cuando se esté tocando algo que puede dañar el funcionamiento del sistema, es decir, cuando se esté tocando la configuración de Windows. Si el troyano no toca la configuración de tu sistema, tú tranquilo, que no te molesta.

El Modo Windows Vista, mi preferido, el de los 5 clics cada 8 horas de la parte anterior del artículo, pedirá aprobación SIEMPRE que se utilicen tus privilegios de administración. No sé porque extraña tontería a mí me gusta saber cuando sucede eso y es el modo que tengo configurado.

El Modo Windows 7, es el nuevo nivel de UAC añadido. Este modo contempla una serie de herramientas de administración del sistema dentro de una “lista blanca” a las que se permitirá elevar al token administrativo si y sólo si se ha hecho clic manualmente y no ha sido llamado por un programa de forma automática.

La idea es que se puedan elevar las herramientas de administración de Windows cuando las utiliza un usuario. En cualquier caso, el administrador seguirá recibiendo la alerta visual del icono de UAC que indica que tras esa ejecución se va a desencadenar el uso de los privilegios administrativos.

Este modo viene a ayudar a esos casos en los que se tienen que administrar mucho una máquina. Dios sabrá porque extraños designios alguien con Windows 7 tiene que administrar masivamente su máquina todos los días. Por suerte no es mi caso, que yo la uso para trabajar y como no juego WOW me puedo permitir gastar esos 5 clics extras al día.


Configuraciones de los Modos UAC en Windows 7

Ataques al modo Windows 7

Conocido este funcionamiento desde las primeras versiones beta de Windows 7, era normal que aparecieran pruebas de concepto que aprovecharan esta característica para intentar elevar la ejecución de cualquier programa en cuanto salieron las versiones Beta.

Ataque 1: Desactivación de UAC

La primera prueba de concepto que salió iba directa al corazón de UAC, para ello, se simulaba a un usuario mediante el envío de eventos clic al interfaz gráfico, es decir, como si fuera un usuario, que, curiosamente, iba a la herramienta de configuración de UAC y desactivaba UAC. Al final, la herramienta de configuración de UAC era una herramienta de administración de Windows y UAC es una configuración del sistema, así que bastaba con simular a un humano, al más puro estilo Blade Runner, y deshabilitarlo. El resto es historia.

Por supuesto, para mitigar este fallo, en la versión final se decidió quitar la herramienta de configuración de UAC de la lista de herramientas administrativas a las que se permite elevación automática y subir el nivel de integridad de la herramienta para a Nivel Obligatorio Alto para que no pueda ser tocado por ningún programa que se ejecute en entorno de usuario.

Ataque 2: Ejecución privilegiada desde herramienta elevada

La segunda oleada de ataques se le viene a la mente a todo el mundo es utilizar los privilegios obtenidos por una herramienta para lanzar la ejecución forkeada de un nuevo proceso desde ella. Así, las ideas pasaron por simular a un humano abriendo el Administrador de Tareas y desde allí llamar, mediante la opción de Ejecutar Nueva Tarea, al troyanaco a elevar. En la versión final, se ha restringido este comportamiento y cuando se produce una llamada a una nueva herramientas se realiza con el token sin privilegios y sin elevación atuomática.

Controversia en el modo por defecto UAC en Windows 7

En el mundo de la seguridad, esta configuración causo mucha controversia, y seguirá generándola pues el riesgo está ahí. Por motivos de usabilidad, o de marketing , o de ventas o de lo que se quiera, el modo Windows 7 abre la puerta a una posible elevación automática. Mi recomendación es que sigas poniendo el UAC en su configuración más segura.

Ataques a los otros modos

Por supuesto, la configuración de UAC al modo Windows Vista reduce la posibilidad de ataque al ejemplo visto en la primera parte de esta serie. Sin embargo, la configuración de los otros modos (Millenium y XP) son más inseguros y, por lo tanto, no deberías configurarlo salvo para lo que existen, para casos muy puntuales en los que el uso de una aplicación heredada, por como esté diseñada, fuerce un volumen de avisos excesivo o, si estás en un entorno cerrado en el que no hay posibilidad de que entre ningún malware y el rendimiento es el parámetro a maximizar. Seguro que se te ocurren algunos entornos en que configurar esos modos, pero para el uso normal del sistema, por favor, evítalos.

************************************************************************************************
- Control de Cuentas de Usuario (I de VI)
- Control de Cuentas de Usuario (II de VI)
- Control de Cuentas de Usuario (III de VI)
- Control de Cuentas de Usuario (IV de VI)
- Control de Cuentas de Usuario (V de VI)
- Control de Cuentas de Usuario (VI de VI)
************************************************************************************************

7 comentarios:

CentOS dijo...

http://www.elpais.com/articulo/tecnologia/Firefox/enfada/Google/elpeputec/20091215elpeputec_2/Tes

Pa que te diviertas un poco, ya sé que la fuente es la que es, pero pa reirse delante del primer café vale..

Saludos!

Wi®

agux dijo...

Aquí llevo discutiendo con un compa del curro sobre la UAC desde ayer. Creía que lo había entendido... Pero parece que no.

Yo, mientras, sigo trabajando con lo de las máquinas virtuales para continuar con mis cosas de la UAC. A ver si al final consigo acabarlas, que con el poco tiempo que tengo...

Christian Hernández dijo...

Windows necesita su permiso para continuar

Si usted inició la acción "Reírse", puede continuar.

La cantidad de "pijeras" que hay que no acaban de entender que Windows no lo han hecho una panda de amiguetes en un garaje con 4 "peceles"...

K Budai dijo...

No el UAC exactamente, sino su pantalla gris me suele joder MUCHO esas 5 veces cada 8 horas (no lo he medido en realidad, creo que es menos)
Generalmente tengo el Skype abierto con video y por alguna chapuza (sospecho que en Skype) cuando salta el UAC, el Skype se cuelga o como mínimo desactiva el Aero. Es una molestia que me cuesta más de un click.

Hostper dijo...

Hola estuve revisando tu blog y me parece muy interesante y entretenido, sobre todo que la información es detallada y precisa, espero que sigas posteando más temas para informarnos y comentar.
Saludos.

Anónimo dijo...

Mis conocimientos en desarrollo son nulos, pero creo que Mandatory Integrity Control (MIC) podría ser candidato a una posible elevación de privilegios.

Los niveles de integridad son controlados por SID locales específicos, y ya sabeis que para que se compruebe un SID se necesita un TOKEN que lo incluya.

Las comprobaciones que he realizado demuestran que LSASS genera un nuevo TOKEN por cada proceso de Internet Explorer que se ejecuta (con modo protegido claro está).

Dado que el nivel de integridad es un SID especial no controlado por la pertenencia a grupos, quizás podría conseguirse sustituir el SID del nivel de integridad por el que uno desee.

Courier dijo...

Me parece un poco complejo.

Entrada destacada

Máxima Seguridad en WordPress de @0xWord #WordPress

Desde hoy ya tienes un nuevo libro en la colección de 0xWord , en esta ocasión centrado en fortificar el popular WordPress para evitar tod...

Entradas populares