Windows-beveiligingslek geeft iedereen toegang tot de computer zonder zich aan te melden bij Gebruikersaccount
Wekelijks krijgen gebruikers nieuwe beveiligingsbulletins voor Windows 7 te zien, herinnerd aan aanvallen via internet, gedownloade malware en nog veel meer van de verschillende aanvallen die gebruikers gebruiken om toegang te krijgen tot iemands computer. Waar we het zelden over hebben en niet minder belangrijk, zijn de fysieke aanvallen waarmee een gebruiker te maken krijgt wanneer iemand zijn / haar computer probeert aan te vallen.
Neem bijvoorbeeld - je hebt een computer op je werk en eentje thuis en je moet soms je werk meenemen naar huis en heel belangrijke bestanden op je thuiscomputer laten opslaan, of je wilt gewoon niet dat iemand je computer opent. De gemiddelde gebruiker heeft één verdedigingslinie om te voorkomen dat mensen inloggen op uw computer en doen wat zij willen met uw bestanden en dat een gebruikerswachtwoord instelt. Meer geavanceerde gebruikers kennen andere methoden, zoals het instellen van een wachtwoord via het BIOS, maar met het gezicht hebben de meeste gebruikers geen idee dat u dit kunt doen.
Twee weken geleden schreef ik een programma waarmee een gebruiker de Gemakkelijke toegangsknop op het aanmeldscherm. Dit was bedoeld als een middel om gebruikers meer flexibiliteit te bieden, omdat sommige gebruikers de knop Toegankelijkheid niet gebruiken.
Tijdens het samenstellen van deze applicatie kwam ik toevallig iets tegen. Een kleine aanpassing van de code voor mijn applicatie, en niet alleen zou een gebruiker de gemakkelijk te gebruiken knop kunnen vervangen, maar de gebruiker zou dit kunnen gebruiken als toegang tot iemands computer via het inlogscherm. Het enige wat men hoefde te doen was de Ease Of Access Button vervangen door "een specifiek ingebouwde native Windows-tool“!
Hierdoor kan een gebruiker mogelijk alle wachtwoorden van gebruikers omzeilen en kan de gebruiker een flashstation toevoegen ... en alles verwijderen van de computer die hij maar wenst. Niet alleen zou dit de gebruiker toestaan om bestanden te verwijderen, maar een gebruiker zou elk bestand op de computer kunnen verwijderen, wijzigen of verplaatsen, waardoor het besturingssysteem in wezen zou worden vernietigd. In dat geval zou u het opnieuw moeten installeren.
Hieronder volgen screenshots van mijn gewijzigde applicatie op het werk:
Test gebruikersaccount, beveiligd met een wachtwoord.
Mijn thumb drive geplaatst. Geeft aan dat er geen bestanden op de schijf staan.
Blader door het testaccount en selecteer en kopieer drie bestanden die ik heb gemaakt om mee te testen.
Gekopieerd naar de thumbdrive.Aangemeld, met de bestanden die ik heb gekopieerd naar de thumbdrive.
Ik heb contact gehad met Microsoft via verschillende e-mails waarin het probleem werd uitgelegd, ik heb Microsoft ook de volledige gegevens en de code die ik gebruikte geleverd, en tot nu toe is het antwoord niet erg positief geweest, omdat het de specifieke medewerker lijkt waarmee ik heb gesproken gelooft niet dat dit een probleem is. Ik wacht nog steeds op hun volgende antwoord om te zien welke stappen Microsoft kan nemen om dit te verhelpen en hopelijk zullen ze het probleem serieus nemen.
Dit was de reactie van Microsoft-vertegenwoordigers:Er zijn een aantal gedragingen waardoor dit een probleem is dat we niet als een beveiligingsrisico beschouwen vanwege mijn begrip van uw melding.
- Als u een ander uitvoerbaar bestand als beheerder wilt uitvoeren, moet het bestand dat moet worden gewijzigd door een beheerder worden gewijzigd. Het gewijzigde hulpprogramma is dan bij aanmelding beschikbaar voor zelfs standaardgebruikers, maar de wijziging moet door een beheerder worden uitgevoerd.
- Fysieke toegang tot het systeem is noodzakelijk om dit gedrag uit te voeren. Er zijn veel kwaadaardige dingen die een gebruiker kan doen met fysieke toegang tot een systeem en terwijl we wel praktische tips publiceren voor fysieke beveiliging van computerbronnen, kunnen we niet volledig beschermen tegen fysieke toegang.
De volgende link werd verstrekt door Microsoft en stelde dat het probleem (2) # 3 en (1) # 6 op deze lijst stond: 10 onveranderlijke beveiligingswetten
Wat de Microsoft-vertegenwoordiger niet begreep, was dat een gebruiker geen beheerder hoeft te zijn om de code uit te voeren. Het kan worden uitgevoerd door iedereen met voldoende kennis.
Mijn punt naar Microsoft is eenvoudig. Het vervangen van de gemakkelijke toegangsknop zou niet zo eenvoudig moeten zijn. Er moeten betere stappen worden ondernomen om ervoor te zorgen dat iets dat niet kritisch is, niet kan worden gewijzigd, omdat het een kernelement is van het aanmeldingsscherm. Als ze dit niet kunnen garanderen, moet er een optie zijn om deze knop niet weer te geven.
Als anderen van mening zijn dat dit een serieus probleem is, zoals ik geloof dat het is, neem dan contact op met beveiliging (at) microsoft (dot) com en vertel je zorgen.