c't umgeht mal eben UAC

02/10/2012 - 02:06 von Christoph Schneegans | Report spam
Hallo allerseits!

In Ausgabe 20/2012 hat die c't ja wieder mal empfohlen, stets als
Administrator und ohne UAC zu arbeiten, vgl.
<news:ab7f6eF3u54U1@mid.individual.net> ff. Das wesentliche Argument
für diese Position hatte ich allerdings noch gar nicht richtig zur
Kenntnis genommen:

"Wenn ein Trojaner trotzdem Administratorrechte benötigt, etwa um
sich als Rootkit im System zu verankern, braucht er nur etwas
Geduld. Er kann dazu etwa eine passend benannte DLL im Download-
Verzeichnis ablegen, was keine speziellen Rechte erfordert. Unter
Windows làdt ein Programm seine Bibliotheken standardmàßig aus dem
gleichen Verzeichnis, in dem es selber liegt (schöne Grüße aus der
DLL-Hölle). So wird der nàchste legitime Installer, den der
Anwender aus dem Internet herunterlàdt und startet, die Trojaner-
DLL laden und deren Code ausführen. Weil der Anwender eine
Installation erwartet, gewàhrt er dem Programm natürlich auch
bedenkenlos die angeforderten Admin-Rechte, die es dann an die
mitgeladene Trojaner-DLL vererbt."

Es ist mir erst aufgefallen, weil in einem Leserbrief (in Ausgabe
21/2012) die Stichhaltigkeit dieses Arguments angezweifelt wurde:

"Es ist schlicht falsch zu behaupten, dass alles, was mit Admin-
Rechten und ausgeschalteter UAC ungefragt an Schadsoftware in das
System kann, ebenso einfach über den von Ihnen dargestellten Weg
mit dem Ablegen von DLLs im Download-Ordner kommen kann."

Unter dem Leserbrief stand noch eine Replik der c't, ohne aber
auf diesen Punkt einzugehen. Dabei scheint mir diese Frage doch
wesentlich zu sein.

In <http://msdn.microsoft.com/en-us/lib...2.aspx> liest man
nun:

"This change was (...) made in Windows XP SP1. The default
behavior now is to look in all the system locations first, then
the current directory, and finally any user-defined paths. (...)
The reason this change was made was to mitigate some kinds of
trojaning attacks. An attacker may be able to sneak a bad DLL into
your application directory or a directory that has files
associated with your application. The DLL search order change
removes this attack vector."

Klingt, als hàtte Microsoft die von der c't vermutete Schwachstelle
schon vor zehn Jahren geschlossen.

Im übrigen zeigt dies nur mal wieder, daß ein UAC-geschütztes
Administratorkonto eine Schnapsidee ist und daß nur eine echte
Trennung von Administrator- und Benutzerkonto eine wirkliche
"security boundary" darstellt.

<http://schneegans.de/computer/safer/> · SAFER mit Windows
 

Lesen sie die antworten

#1 Helmut
02/10/2012 - 05:29 | Warnen spam
Hallo, Christoph,

Du meintest am 02.10.12:

In Ausgabe 20/2012 hat die c't ja wieder mal empfohlen, stets als
Administrator und ohne UAC zu arbeiten,



[...]


Im übrigen zeigt dies nur mal wieder, daß ein UAC-geschütztes
Administratorkonto eine Schnapsidee ist und daß nur eine echte
Trennung von Administrator- und Benutzerkonto eine wirkliche
"security boundary" darstellt.



Also stimmst Du der c't-Empfehlung zu? Prima!

Viele Gruesse!
Helmut

Ähnliche fragen