...y lo que es peor, parece que no preocupa a Microsoft y que no planea solucionarlo. El bug no es difícil de entender: con la configuración de fábrica (cuenta de administrador y nivel de UAC medio), se puede deshabilitar por completo UAC sin solicitar derechos de administrador. Lo que vendría a suponer que al ejecutar cualquier programa, sin pedir ningún derecho adicional ni confirmación por parte del usuario, puede tomar control casi absoluto de nuestro equipo.
Esto vendría a hacer retroceder a Windows 7 en temas de seguridad a tiempos de XP, ya que los controles UAC han quedado inutilizados, y por tanto esa capa extra de seguridad implementada en Vista es como si no existiera. Por supuesto, si no queremos vernos en esa situación, podemos subir UAC al máximo nivel, donde al menos nos pide confirmación para hacer esa rebaja de seguridad. Otra solución recomendable sería no usar la cuenta por defecto y crearse otra sin derechos de administrador, solo como usuario estándar.
Cualquiera que entienda el bug consideraría que es una violación de seguridad clarísima, pero desde Microsoft no piensan igual. Aunque ya se haya creado como prueba de concepto un script totalmente funcional que realiza esta tarea. Desde Microsoft argumentan que ese comportamiento es el esperado, que no se puede considerar una vulnerabilidad, que para pulir UAC se han basado en los feedback que le han dado sus usuarios y que para explotar este bug se necesita una acción directa del usuario.
Es cierto, se necesita que el usuario ejecute la aplicación, pero también es cierto que si la ejecutamos con ciertos derechos, en un modo de bajos privilegios, no debería poder hacer cosas para las que requerimos en las preferencias del UAC que pida confirmación. No debe ser difícil darse cuenta de este tema, y no creo que le lleve a Microsoft más de 10 minutos aplicar un sencillo filtro a las preferencias de UAC.
Basándose en el feedback de los usuarios de la Beta, Microsoft está pasándose de rosca en este tema. Que si primero los usuarios se quejan porque en Vista piden muchas confirmaciones, y ahora se quejan porque Windows 7 pide pocas. La cuestión no es que pidiera muchas, la cuestión era que pedía y pide la contraseña para tareas insulsas, como borrar un acceso directo del escritorio. Mientras tanto, tareas más importantes como la configuración de preferencias de seguridad parece que quedan exentas de esta seguridad extra salvo si lo especificamos nosotros explícitamente.
La conclusión es que no se ha avanzado ni en seguridad ni en usabilidad en este aspecto. De los cuatro niveles de seguridad que vemos en la captura que acompaña esta entrada, los dos únicos que realmente hacen lo que dicen son los que ya ofrecía Vista: o poner el UAC que avise siempre, o deshabilitarlo por completo. Y al contrario que en Vista, se ha elegido el segundo nivel por defecto. Extraño avance, ¿no creéis?
Más información | i started something: Sacrificing security for usability
Más información | i started something: Microsoft dismisses Windows 7 UAC security flaw
Ver 30 comentarios
30 comentarios
jmbg
jose ¿maleducado mi comentario? venga ya hombre, ya no se puede decir ni caca, que somos ya mayorcitos ¿lo dices por lo de pajas mentales? pero es que es verdad, son pajas mentales, pero que voy a explicar si tu ya lo sabes de sobra, pero te gusta llevar la contraria, porque si. Si tanto sabes de informática y tan bueno eres deberías saber que eso son solo chorradas, te acabo de demostrar en el anterior comentario que se puede hacer con un bat que te borre todos los documentos que quieran. Si el archivo se ejecutara solo seria un fallo de seguridad, pero el que tu ejecutes un archivo para desactivar, borrar, estropear ya no es fallo de seguridad, es fallo humano mas bien.
Claw
Bueno, en parte veo lógico ese comportamiento puesto que en un nivel medio el UAC no tendría que verse obligado a pedir SIEMPRE la confirmación del usuario.
Quizás es verdad que deberían pulir un poco más el filtro de "qué es importante para el UAC". Aún así, creo que no deberíamos confiar toda la seguridad de nuestro PC al UAC, sino combinarlo con antivirus potentes y sobre todo prevención.
Salu2!
sodark
La verdad es que en vista daba por saco y solo había esas dos opciones, a mi me gusta mas como esta en win7, eliges el nivel de seguridad que prefieres y ale.
Yo fue lo primero que hice, pero gente que no sepa seguramente ni se de cuenta o ni se lo mire.
Si Microsoft pasa de los usuarios es una mala empresa porque tal y cual, ahora cuando Microsoft hace caso de los feedback tambien?
PD: Al que no le guste pues que no lo use, que se quede con XP, Vista, 98, Me de MS o que utilice Linux o Mac es asi de simple.
Camelot
Me parece muy oportuno este artículo, ya estaba harto de leer puras cosas buenas de este Windows 7.
Sin embargo, luego de un momento de indignación me arrancó una sonrisa pensar en todos aquellos que ahora reclaman por el UAC cuando lo primero que hacen en Vista es deshabilitarlo y se andan por la vida de lo más tranquilos, frescos y libres de tanto aviso inoportuno.
Pero ¡ah, las vueltas que da la vida!, ahora se sienten "inseguros" y paranoicos porque UAC podría ser superado algunos de esos malosos cibercriminales listos para caer sobre la valiosa información que existen en nuestros discos duros. Y más gracioso sería que reclamente quienes no usan ni Vista ni Win7 y que no tiene ni UAC (que como bien apunta Víctor apenas es la capa externa de seguridad) ni todas las otras tecnologías que implementó Microsoft, y que lamentablemente el SP3 no le dió a nuestro querido, y reconozcamoslo, ya anticuado XP.
¿Es esto un bug? Técnicamente sí lo es, aunque si mal no recuerdo muchos firewall en el nivel de seguridad intermedio también pueden ser vulnerados. Por esta razón yo siempre ajusto el nivel al máximo en casi todo programa de seguridad que tengo.
¿Será molesto? Depende, si el UAC ha mejorado en Windows 7 con relación a Vista quizás navegar con el UAC al máximo no esa una cosa tan terrible ni una experiencia tan liosa.
¿Reclamos? Por supuesto, pero no me desespero porque como todavía estamos en la beta 1 y nos falta como un año de camino tenemos tiempo suficiente para conseguir alguno de estos escenarios:
Microsoft da su brazo a torcer y ajusta el UAC de Win7. Vamos, que haga ese "nivel intermedio" más robusto... casi como el "nivel máximo" (aunque no tanto, porque sino ¿cuál sería la diferencia? (que extraño suena todo esto).
Aparece una herramienta, como el Norton UAC que reseñaron aquí mismo en Genbeta, que haga lo que queremos. Por cierto esto es típico cuando Microsoft n
_Redirwol_
La cuestion es sacar la lloradera a relucir de tanto en tanto.
Con windows vista, no haciais mas que quejaros que vaya mierda de UAC que hasta para ver la hora te pedia permiso, y ahora que no salta para casi nada, tambien os molesta????????
desde luego, me gustaria saber cuanto os pagan por decir tanta tonteria.
jmbg, tu comentario #1 el mejor sin dudarlo...
Sci-Fi Rino
Desde el punto de vista de un técnico de empresa partner de MS, creo que como han dicho por ahí, lo que aquí llamáis bug, no deja de ser una feature.
Como el autor mismo ha resaltado, el comportamiento de estos niveles de seguridad puede ser configurado a un nivel superior para evitar este comportamiento. Con esto, se otorga a UAC la flexibilidad que se le reclamaba en Vista.
Dicho esto, nos encontramos con dos escenarios típicos. El usuario doméstico y el usuario empresarial.
En el caso del primero, el mal llamado problema de seguridad puede ser solventado con una acción administrativa (elevar el nivel de seguridad de UAC) que:
a) Resulta tan sencilla como el antiguo desactivar UAC
b) Debido precisamente a ese nivel de seguridad, no le requerirá permisos adicionales ni confirmación de la acción.
En el caso del segundo, la situación es aún mas simple porque, con toda probabilidad, cuando el equipo con Windows 7 le sea entregado, el nivel de seguridad será mas alto que el citado por el autor debido a su configuración mediante GPO.
En conclusión, opino que llamar bug a la respuesta de Microsoft a la demanda de los usuarios de flexibilizar el comportamento de User Account Control, es, como poco, tendencioso y como mucho, una estupidez, máxime cuando una de las acusaciones habituales contra la empresa de Redmond es que no escucha el feedback de sus usuarios.
Saludos!
jayjayjay_92
@5 Porque ees beta?
jose
No es un bug, es una feature...
erdr2010
con nada estan conforme esta gente,yo pensaba que si es beta toda via es por que esta en prueba siempre la beta tienen problema.
es verdad en vista te pide permiso para todo y muchos aqui se quejaron como siempre jeje y ahora que el 7 con su beta no hace lo mismo tambien se quejan con nada se conforman.
windows 7 no digo que es una porqueria hasta que yo mismo lo pruebe sin lleverme de la critica de la gente de genbeta asi mismo yo compruebo si es malo o bueno.
Malqpor
Mucho odio a Microsoft veo yo, pese al hecho de que sea una cagada bastante bonica.
Cosas como que no se ha avanzado nada en seguridad, y que va a recibir la misma aceptación que Vista...
Los que probamos aquella beta 2 de Vista, vimos un sistema lento, erroneo, falto de funciones funcionales (que no funcionaba nada vamos)... daban ganas de llorar. La cosa ha mejorado muchísimo, desde luego, pero en la estúpida conciencia de la gente a quedado el Vista=kk que no hay manera de cambiar. Tanto la marca comercial, como el nombre "vista", están heridos de muerte. Cosa que se agradece, pues es uno de los principales factores que han creado Seven.
La beta que hemos probado es rápida, sensiblemente mas ligera, con cambios de interfaz, y con un funcionamiento encomiable, mas cuando quedan aún detalles por pulir. Es otra cosa, es otra historia.
Las alternativas a Windows, Apple sigue comportandose de manera elitista, y a linux le queda todavía un camino por andar (demasiado terminal y demasiadas actualizaciones problematicas), aunque avanza a una velocidad solprendente... pero en fin, estás son cosas demasiado largas como para ponerlas en un comentario ya de por si largo. Pero microsoft no desaparecera, fijaros la de gente que se queda en el ya digno de arqueología Windows XP, cuando las alternativas miden su ventaja respecto a este en años luz.
Saludos
Sci-Fi Rino
@stra
¿De verdad piensas que el grueso de las licencias que vende MS son para usuarios domésticos?.
¡Ay madre!
Sci-Fi Rino
Repetimos...
¿De verdad te piensas que el grueso de las licencias de Windows se venden a usuarios domésticos?.
Añadimos...
¿Eres tan corto como para tener los redaños de querer decirme que porque algunas empresas no pagan todas sus licencias (gracias por el apunte, pero currando en el mundillo, algo sé sobre el tema) el grueso de las licencias recaen en el usuario doméstico, especialista en el proceso Windows Nuevo -> Descarga P2P -> Keygen/Patch -> Windows Gratis?
Por favor, dime que no has querido decir eso, o por mi parte no tengo mas que hablar contigo, ya me has dicho todo lo que necesitaba oir para descartarte como interlocutor...
Salu2.
PS: Por cierto, lo de SEAT, es denunciable y una auditoría podría dejarles con el culete al aire, con lo que dudo que sean tantas licencias las que no se pagan...aun así, SEAT igual paga menos, pero otras muuuuuuuucho mas grandes que SEAT, las pagan religiosamente.
Sci-Fi Rino
Tu mismo, torrezno. Si quieres ofenderte por preguntarte si te he entendido bien, dos tareas tienes. Cuando te apetezca hablar del tema y debatir, aquí me tienes.
Salu2.
PS: el \"mas tonto y no respiras, sobra\". Y no me vengas con que yo te he llamado corto, que no lo he hecho. Quizá si lees de nuevo mi anterior intervención, entiendas mejor lo que he querido decir.
Sci-Fi Rino
Amén JaGo!. Y para el usuario doméstico, que no dispone de administradores a mano, una explicación de la feature en el minisetup de inicio (en caso de equipos OEM) o durante la instalación (en caso de equipos que no traigan W7 preinstalado), y que sirva para que, antes de conectarse a Internet, el usuario haya decidido QUE NIVEL DE SEGURIDAD DESEA (o sea, lo que se le reclamó a MS en Vista).
Salu2.
Sci-Fi Rino
Hoy han aparecido noticias sobre este tema, que ignoro si el blog publicará como rectificación a este artículo. Ahí queda...
http://blogs.msdn.com/e7/archive/2009/02/05/uac-fe...
david
@jmbg
Algunos si abren cosas sin saber que son! infinitos ejemplos!!!.
Hacerca del post lo he calificado negativo, aunque considero que el UAC no debe ser tan permisivo... custele a quien le cueste.
Tambien lo del fichero en el escritorio me parece mentiras que una persona con conocimientos de informatica diga esto, pues creeme que si tu usuario creo dicho archivo seguro lo puedes elimininar cuando desees sin necesidad de aprobacion del UAC, a menos de que otro adiministrador sea el creador y propietario.
El UAC en general en vista para mi no es molestia, y me agrada mucho cuando meto alguna USB con algun bicho y un rato despues sale un mensaje diciendo que algun archivo no se pudo ejecutar.....
Saben ustedes que desde tiempos de XP MS recomienda encarecidamente en toda la documentacion y coferencias utilizar Windows con cuentas de usuarios limitadas, ademas sabien que el 90% de los bichos creados no serian capaz de realizar una accion perjudicial con esta solucion
Quieren que MS se abra de patas o que las cierre.
Yo prefiero que las cierre!
Naroh
Pues nada, la solución son feedbacks de todos los usuarios de Win7 pidiendo la inclusión de una confirmación para hacer ello. Así no se podrán escudar en \"hemos escuchado a los usuarios\".
Por lo pronto yo ya he hecho clic en el \"Send Feedback\" y estoy escribiendo sobre el tema.
Tlilectic Mixtli
yo.... que casi ya no tengo opinion sobre el sistema operativo... me pregunto: Acaso los geeks que trabajan en Microsoft conocen el RSS? con el cual podrian verificar las toneladas de post que ponen el dedo en la multiples llagas y ellos se empeñan en no ver.
dtp!
#11 Mickeley:
me da a mí que Microsoft y CIA tenían un choyo con los GAMERS, gente que se actualizaba la PC cada 1 o 2 años y utilizaba sólo Windows. Este sector ahora se está pasando a las consolas y PAM! XBOX en el mercado. Si Apple y Linux hubiesen apretado en este mercado las cosas serían diferentes.
Lo mismo va a pasar con WindowsMobile, teniendo a Android/Symbian/MacOS MicroSoft está temblando. Y Apple junto a Linux no van a ser menos, dentro de 5 años la gente verá Windows con otros ojos.
dtp!
Sci-Fi Rino ¿de verdad crees que empresas como SEAT pagan cada una de sus licencias para cada ordenador? los infórmaticos de estas compañias ya se encargan de poner Windows sin licencias ni actualizaciones...zZzZz te lo digo de buena mano.
dtp!
Sci-Fi Rino no me vendes nada y comprate un amigo que no sea cortito como yo porfavor :D más tonto y no respiras!
Jago
Por lo que veo, llego un poco tarde a comentar.
Básicamente, yo no le llamaría bug por el simple hecho de que nunca se debería dejar usar un ordenador nuevo a un usuario sin que haya sido debidamente configurado antes por un administrador.
Y bug solucionado.
lost-perdidos
¿Y de qué se sorprenden? Todos los días debe haber alguna tontería enorme en Genbeta para resaltar entre el \"jugoso\" contenido de Mac y Linux. PD: Sin novedades en Windows 7, pueden proseguir con sus tareas.
jayjayjay_92
Victor, cierto, habia leido la noticia en otro itio donde no venia la respuesta de microsoft...
jmbg
Bueno, vale, visto así... pero aun así lo tienes que ejecutar tu, seguro que hay cosas más peligrosas que una simple desactivacion de UAC (que en principio es inofensiva) que pueden joder sin necesidad de que intervenga el UAC.
Vamos a poner otro ejemplo más realista, cámbiese dentro del bat lo de diskpart por un código para que borre el contenido de la carpeta vídeos y porque no, ya que estamos, también el contenido de la carpeta imágenes y vídeos. Acabo de hacer la prueba con un simple documento txt y no ha pedido ninguna confirmación, tampoco la pedirá para borrar lo otro. Un simple doble clic sobre el bat y "nuevo.txt" desapareció.
del nuevo.txt /f /qMás peligroso que ese script y tampoco pide confirmación UAC ni de ningún tipo, porque es de lógica, nadie abre eso sabiendo lo que va a hacer y si alguien abre una cosa que no sabe que es, pues ahí ya no se puede hacer nada.
Y bueno lo de jose, no es por faltar al respeto hombre, es que para que meta cizaña mejor que se esté quieto, por mi puede opinar como cualquier otro, pero que no sea solo para joder.
Víctor Pimentel
jmbg: Again, and again, and again... Si no quieres entenderlo no lo entiendas. Si abres un bat con comandos para borrar todas tus particiones, te pide confirmación, te pide derechos sí o sí. No porque esté en el script malicioso explícito, sino porque para esas tareas Vista/Windows 7 te pide derechos adicionales (al menos como está configurado por defecto). El script que han creado para explotar esta vulnerabilidad no te pide confirmación.
Para que lo veas más esquemático, con el nivel de seguridad actual:
* Tu bat: lo ejecutas. Te salta UAC. Si aceptas, hace lo que quiere.
* Este script: lo ejecutas. Hace lo que quiere.
No sé explicarlo más claro, y no entiendo por qué dudar de algo así. Creo que el que escribe en "i started something" poco de antimicrosoft tiene... Es un betatester privado desde hace años, y es auténtico defensor de Windows. Si no quieres darte cuenta de que esto es un fallo de seguridad, pues muy bien, pero lo es. Y no porque lo diga yo.
Víctor Pimentel
jmbg: Y por cierto, ten algo de respeto por el resto de comentaristas. Te doy el permiso de decirme a mí lo que quieras, pero no mandes callar a otros comentaristas. Muchas gracias.
jmbg
Yo diría que la conclusión es que te haces demasiadas pajas mentales.
Solo se desactiva el UAC si ejecutas ese script ¿y quien lo ejecuta sin saber lo que es? Es como si te pones a borrar la carpeta system32, te pide confirmacion de borrado y del UAC, le das a que si, toma ya acabo de descubrir otro agujero de seguridad.
Ahí va otro agujero de seguridad:
1. Abres regedit.
2. Confirmas en el UAC que lo quieres abrir, desde aquí ya esta hackeado el Windows y no tiene solución porque su arquitectura no lo permite.
3. Borro todas las claves que se me crucen.
A ver como arreglan este agujero de seguridad.
Si te acabas de despertar se nota en el articulo y si aun no has dormido también.
P.D.: Os cuento como hackear un Mac, coges el Mac, abres la ventana, lo tiras, hackeado.
lluevert
jmbg me parece que tienes muy poca memoria. Te recuerdo que cuando salió windows xp NI SIQUIERA HACIA FALTA QUE EJECUTARAS UN SCRIPT. Pues el blaster y derivados aprovechaban un agujero de seguridad para meterse por una backdoor. Asi que si pensaras de verdad en las consequencias que puede tener semejante cagada, no da mucha seguridad el hecho de que la seguridad del sistema se pueda ver corrompida por una \"configuración de fábrica explotable por un script\"