Einzelnen Beitrag anzeigen

snapman
(Gast)

n/a Beiträge
 
#143

Re: Vista - warum tut sich das jemand an?

  Alt 15. Feb 2007, 21:45
Zitat von JasonDX:
Zitat von snapman:
Zitat von Phoenix:
Zitat von snapman:
Root: HKLM; Subkey: "SYSTEM\CurrentControlSet\Services\SharedAccess\Pa rameters\FirewallPolicy\StandardProfile\Authorized Applications\List"; ValueType: string; ValueName: "{app}\App.exe"; ValueData: "{app}\App.exe:*:Enabled:AppName"
Für den Key braucht die Anwendung Administrations-Rechte, die sie nicht hat und auch nicht bekommt, wenn der Anwender nicht explizit eingreift.
Klar braucht man Adminrechte, aber wie soll man neue Software sonst installieren?
1. Malware und installieren? Um ehrlich zu sein: Ich habe noch nie einen Virus oder Trojaner mit Installations-Dialog gesehn, den ich als Admin ausfuehren soll. Wenn, dann wird solcher Mist immer unter dem aktuellen User ausgefuehrt. Und unter Vista ist es egal, ob das grad der Admin is oder nicht - um auf HKLM schreiben zu koennen, muss man das per UAC bestaetigen.

Zitat von snapman:
Unter eingeschränkten Rechten gehts auch recht leicht, das System zu infizieren:
Autostart einrichten über HKCU (UAC sagt NIX dazu), Uploaden der Daten über IE
2. Das klappt immer. Aber was willst du als Schutz dagegen machen? Keine DAUs an den Rechner lassen?

Zitat von snapman:
ermitteln des AdminPasses über Keylogger -> Vollzugriff
auch ein LL-Keyhook bringt nix - UAC duerfte da so ziemlich tief drin sitzen, dass dein Keylogger nichtmal mitkriegt, dass grad ein Passwort eingetippt wurde

greetz
Mike
1. Hast du meinen Beitrag #140 nicht gelesen?

Hier zur Sicherheit nochmal:
http://www.pcwelt.de/news/sicherheit/24272/index.html
http://www.heise.de/security/news/meldung/82637
http://www.heise.de/security/news/meldung/83381
http://www.heise.de/newsticker/meldung/4448
http://www.rokop-security.de/index.p...topic=9326&hl=
http://winfuture.de/news,29612.html
http://www.heise.de/newsticker/meldung/84411

Zudem hat doch heutzutage jedes kleine Tool einen Installer, da könnte sich ein Trojaner doch gut drin verstecken, oder nicht?
Muss ja nichtmal Absicht sein, der PC vom Entwickler kann ja auch infiziert sein, oder gar der PC von MS-Mitarbeitern wie in Link 1.

2. Das müsste man sich genau überlegen. Vielleicht lieber eine UAC Abfrage bei Autostart-Einträgen als beim Ändern der Farben?

3. Wie tief die UAC drinsitzt, weiss ich jetzt auf Anhieb nicht. Allgemein sind aber Keylogger (auch auf der x64 Edition) kein Problem unter Vista.

Eine grosse Schwachstelle ist aber, das nach Passworteingabe die Dokumente des Admins systemweit freiliegen - bis zum nächsten Neustart.
Hier hat ein Virus leichtes Spiel.
  Mit Zitat antworten Zitat