Blogger: Fitur Windows 7 UAC Masih Rentan

Blogger Microsoft yang pertama kali meminta perhatian pada kerentanan keamanan di fitur Kontrol Akun Pengguna (UAC) Windows 7 mengklaim bahwa itu masih ada dan Microsoft tidak akan memperbaikinya, bahkan sebagai perusahaan mendekati akhir penyelesaian kode pada OS.

Long Zheng, yang menulis blog populer "I Started Something", telah memposting video online yang menunjukkan bagaimana UAC, fitur keamanan yang pertama kali diperkenalkan di Windows Vista yang menetapkan hak pengguna pada PC di Windows 7, dapat dieksploitasi.

Zheng juga menunjuk pada dokumen instruksional oleh Microsoft Technical Fellow Mark Russinovich yang mencoba menjelaskan UAC, mengatakannya dengan jelas menyatakan bahwa Microsoft tidak memiliki niat untuk memperbaiki perubahan yang dibuatnya di UAC pada Windows 7 yang membuat OS baru kurang aman karena memungkinkan seseorang untuk secara remote mematikan fitur tanpa sepengetahuan pengguna.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Zheng pertama menunjukkan perubahan ini dan kerentanan kembali pada bulan Februari. Pada saat itu dia mengatakan bahwa pengaturan default "pengguna standar" UAC yang baru, yang tidak memberi tahu pengguna ketika perubahan dilakukan ke pengaturan Windows, adalah tempat risiko keamanan berada. Perubahan ke UAC dilihat sebagai perubahan ke pengaturan Windows, sehingga pengguna tidak akan diberitahu jika UAC dinonaktifkan, yang mana Zheng mengatakan dia dapat melakukan secara remote dengan beberapa pintasan keyboard dan kode.

UAC telah menjadi kontroversial fitur sejak Microsoft memperkenalkannya di Windows Vista untuk meningkatkan keamanannya dan memberi orang-orang yang merupakan pengguna utama PC yang lebih mengontrol aplikasi dan pengaturannya. Fitur ini mencegah pengguna tanpa hak administratif dari membuat perubahan yang tidak sah ke sistem.

Dalam dokumen Russinovich, dia mengakui bahwa Zheng dan pengamatan orang lain tentang bagaimana perangkat lunak pihak ketiga dapat menggunakan fitur ini untuk mendapatkan hak administratif ke PC yang akurat..

Namun, menurut posting blog Zheng, Russinovich tampaknya mengabaikan kemungkinan ini untuk eksekusi kode jarak jauh dan tidak menawarkan perbaikan untuk itu, karena dia mengatakan bahwa ada cara lain bagi malware untuk masuk ke sistem melalui permintaan UAC.

"Pengamatan lanjutan adalah bahwa malware dapat memperoleh hak administratif menggunakan teknik yang sama," Russinovich menulis. "Sekali lagi, ini benar, tetapi seperti yang saya tunjukkan sebelumnya, malware dapat membahayakan sistem melalui peningkatan yang diminta juga. Dari perspektif malware, mode default Windows 7 tidak lebih aman atau kurang aman daripada mode Always Notify (" Vista mode "), dan malware yang mengasumsikan hak administratif akan tetap rusak ketika dijalankan dalam mode default Windows 7."

Microsoft tidak secara resmi menanggapi permintaan untuk komentar pada klaim dan pos video Zheng. Namun, juru bicara perusahaan mengatakan secara pribadi bahwa Zheng mungkin telah salah menafsirkan dokumen Russinovich.

"Intinya menurut saya menyulitkan malware untuk masuk ke sistem di tempat pertama, dengan membantu pengguna akhir membuat keputusan yang lebih baik melalui meminta mereka, dan memiliki lebih banyak dan lebih banyak pengguna berjalan dalam mode pengguna standar vs dalam mode admin (karena mode admin adalah apa yang memaparkan mesin Anda terhadap risiko), "kata juru bicara, yang meminta untuk tidak disebutkan namanya, melalui e-mail.

Microsoft telah berdiri dengan perubahan ke pengaturan default UAC ketika Zheng membuat klaim kerentanan pertamanya, mengatakan bahwa fitur tersebut tidak dapat dieksploitasi kecuali sudah ada kode berbahaya yang berjalan di mesin dan "sesuatu yang lain telah dilanggar." Microsoft telah mengatakan bahwa Windows 7, yang saat ini dalam rilis pratinjau, akan tersedia untuk bisnis dan konsumen pada 22 Oktober. Pelepasan ke pembuatan OS, di mana semua kode akan menjadi final, diharapkan akhir bulan depan.