www.MegaLab.it

L'implementazione di User Account Control presentata da Windows Vista è stata soggetta a pesanti critiche: secondo molti, l'utente doveva infatti esprimere la volontà di proseguire anche per le azioni più banali.

Microsoft ha accolto le critiche degli utenti, ed in Windows 7 ha apportato modifiche al Controllo Account Utente per renderlo meno fastidioso. L'effetto collaterale di queste modifiche è l'introduzione di un problema di natura progettuale, che darebbe la possibilità di disattivare UAC senza il consenso dell'utente.

In Windows 7 gli eventi che vengono notificati all'utente riguardano soltanto le modifiche al computer effettuate da software di terze parti, mentre le modifiche al sistema da parte dell'utente non vengono mostrate.

UAC, tramite l'impiego di alcuni certificati, è in grado di riconoscere le applicazioni interne dai software di terze parti. Il problema è che disabilitare il Controllo Account Utente è considerata una modifica del sistema da parte dell'utente, e quindi non viene segnalata.

La scoperta di tutto ciò è opera di Long Zheng di IStartedSomething.com, che in post sul suo blog la descrive nel dettaglio. Lo stesso afferma che sfruttando questa vulnerabilità è effettivamente possibile disabilitare l'UAC senza interpellare l'utente.

Per dimostrare la veridicità della sua tesi, Zheng ha sviluppato, insieme al celeberrimo hacker Rafael Rivera, un software in VBScript che, simulando alcuni input da tastiera, è in grado di disabilitare lo User Account Control senza conferma dell'utente.

L'unico modo per mettersi al sicuro dal problema è utilizzare un account con diritti limitati, o configurare UAC di modo che mostri un avviso qualunque azione venga intrapresa.

Se non si ha intenzione di tenere UAC disabilitato, sarà meglio utilizzare una delle due soluzioni appena descritte, visto che Microsoft, dopo essere stata informata dal ricercatore, ha dichiarato che è così by design, e il comportamento non verrà modificato neanche nella versione finale del sistema operativo.