Pesquisadores britânicos de segurança encontraram uma nova maneira de burlar o sistema de segurança User Account Control (UAC) dentro do Windows Vista.

Robert Paveza, desenvolvedor de aplicações online da empresa de marketing Terralever, publicou um documento demonstrando um ataque de dois estágios que, segundo ele, permite que códigos maliciosos infectem o sistema mesmo quando rodando sob privilégios limitados.

O ataque se aproveita do fato de que as permissões do UAC são porosos, com programas capazes de se livrar das restrições do processo que garante segurança por meio de privilégios de segurança.

Isto tem relação com uma das falhas no UAC apontado pelo pesquisador de segurança Joanna Rutkowska em fevereiro. Rutkowska apontou que os níveis de integridade desenvolvidos pelo UAC são desenvolvidos para permitir certas brechas.

Sob o ataque de Paveza, o código malicioso pode ser incluído em softwares inócuos que poderiam, de fato, rodar sem ser percebidos e sem qualquer nível elevado de privilégio necessário, deixando a infecção para mais tarde.

"Por exemplo, caso usuários acreditem que estão baixando um game, o programa poderia ser rodado enquanto o software malicioso faz seu trabalho ao fundo", escreveu Paveza. "É importante notar que, realisticamente, uma vez que a ferramenta de infecção de proxy esteja rodando no alvo, o PC é infectado com toda certeza".

Enquanto isto, o programa poderia criar um "executável clone" que inicia um programa autorizado a rodar com privilégios. O clone poderia ser restaurado em um lugar como o menu Iniciar onde o usuário clicaria pensando se tratar do original.

Caso o usuário clique eventualmente no clone, o programa com privilégios é iniciado e o malware é carregado, explicou Paveza. Ao autorizar o programa original, o usuário também autoriza, inadvertidamente, o código malicioso.

"O processo original e o processo malicioso rodam em paralelo", escreveu.

Em um anúncio, a Microsoft atenuou o risco do ataque, afirmando que o ataque exige interação significante do usuário e que nem todos os usuários terão privilégios para autorizar o código malicioso.

No entanto, Mark Russinovich, técnico na divisão de Serviços e Plataformas da Microsoft, já respondeu às críticas em fevereiro ao explicar que o UAC não é considerado um mecanismo de segurança. Ao invés, é uma maneira de incentivar o desenvolvimento de aplicações seguras, afirmou ele.

Como as fronteiras definidas tanto pelo UAC como pelo modo protegido do navegador Internet Explorer foram desenvolvidas para ser porosas, ambas não podem ser consideradas barreiras de segurança efetivas, afirmou ele.

"Nem tornar o UAC mais rígido ou escolher o modo protegido do IE definem fronteiras de segurança do Windows", escreveu Russinovich. "Como não podem ser considerados limites de segurança, possíveis caminhos para ataques não são falhas por definição".