Zitat von
JasonDX:
Zitat von
snapman:
Zitat von
Phoenix:
Zitat von
snapman:
Root:
HKLM; Subkey: "SYSTEM\CurrentControlSet\Services\SharedAccess\Pa rameters\FirewallPolicy\StandardProfile\Authorized Applications\List"; ValueType: string; ValueName: "{app}\App.exe"; ValueData: "{app}\App.exe:*:Enabled:AppName"
Für den Key braucht die Anwendung Administrations-Rechte, die sie nicht hat und auch nicht bekommt, wenn der Anwender nicht explizit eingreift.
Klar braucht man Adminrechte, aber wie soll man neue Software sonst installieren?
1. Malware und installieren? Um ehrlich zu sein: Ich habe noch nie einen Virus oder Trojaner mit Installations-Dialog gesehn, den ich als Admin ausfuehren soll. Wenn, dann wird solcher Mist immer unter dem aktuellen User ausgefuehrt. Und unter Vista ist es egal, ob das grad der Admin is oder nicht - um auf
HKLM schreiben zu koennen,
muss man das per
UAC bestaetigen.
Zitat von
snapman:
Unter eingeschränkten Rechten gehts auch recht leicht, das System zu infizieren:
Autostart einrichten über
HKCU (
UAC sagt NIX dazu), Uploaden der Daten über IE
2. Das klappt immer. Aber was willst du als Schutz dagegen machen? Keine DAUs an den Rechner lassen?
Zitat von
snapman:
ermitteln des AdminPasses über Keylogger -> Vollzugriff
auch ein LL-Keyhook bringt nix -
UAC duerfte da so ziemlich tief drin sitzen, dass dein Keylogger nichtmal mitkriegt, dass grad ein Passwort eingetippt wurde
greetz
Mike
1. Hast du meinen Beitrag #140 nicht gelesen?
Hier zur Sicherheit nochmal:
http://www.pcwelt.de/news/sicherheit/24272/index.html
http://www.heise.de/security/news/meldung/82637
http://www.heise.de/security/news/meldung/83381
http://www.heise.de/newsticker/meldung/4448
http://www.rokop-security.de/index.p...topic=9326&hl=
http://winfuture.de/news,29612.html
http://www.heise.de/newsticker/meldung/84411
Zudem hat doch heutzutage jedes kleine Tool einen Installer, da könnte sich ein Trojaner doch gut drin verstecken, oder nicht?
Muss ja nichtmal Absicht sein, der PC vom Entwickler kann ja auch infiziert sein, oder gar der PC von MS-Mitarbeitern wie in Link 1.
2. Das müsste man sich genau überlegen. Vielleicht lieber eine
UAC Abfrage bei Autostart-Einträgen als beim Ändern der Farben?
3. Wie tief die
UAC drinsitzt, weiss ich jetzt auf Anhieb nicht. Allgemein sind aber Keylogger (auch auf der x64 Edition) kein Problem unter Vista.
Eine grosse Schwachstelle ist aber, das nach Passworteingabe die Dokumente des Admins systemweit freiliegen - bis zum nächsten Neustart.
Hier hat ein Virus leichtes Spiel.