Atualizado em September 2024: Pare de receber mensagens de erro que tornam seu sistema mais lento, utilizando nossa ferramenta de otimização. Faça o download agora neste link aqui.
- Faça o download e instale a ferramenta de reparo aqui..
- Deixe o software escanear seu computador.
- A ferramenta irá então reparar seu computador.
A cada semana os usuários recebem novos boletins de segurança para o Windows 7, lembrados de ataques via internet, malware baixado e muitos mais dos vários ataques que os usuários usam para acessar o computador de alguém. O que raramente se fala e não menos importante, são os ataques físicos que um usuário tem que enfrentar quando alguém tenta atacar seu computador.
Usuários mais avançados conhecem outros métodos, como definir uma senha via BIOS, mas enfrente-a, a maioria dos usuários não tem idéia de que você pode fazer isso.
Duas semanas atrás eu escrevi um programa que permite ao usuário substituir o
Botão Facilidade de Acesso na Tela de Logon
. Isto foi entendido como um meio para dar aos usuários mais flexibilidade, já que alguns usuários não usam o botão Ease Of Access.
(16)
Ao juntar esta aplicação, deparei-me com algo puramente por acidente. Uma pequena modificação do código da minha aplicação, e não só um usuário poderia substituir o botão Ease Of Access, mas o usuário poderia usar isso como um meio de acessar o computador de alguém através da tela de login. Tudo o que se tinha de fazer era substituir o botão Ease Of Access por
uma ferramenta nativa do Windows particular e embutida
!
Isso permitiria potencialmente que um usuário ignorasse todas as senhas de usuários e permitiria que o usuário anexasse uma unidade flash … e removesse qualquer coisa do computador que desejasse. Isso não só permitiria ao usuário remover arquivos, como também poderia excluir, modificar ou mover qualquer arquivo no computador, destruindo essencialmente o sistema operacional, caso em que você precisaria reinstalar.
A seguir estão as screenshots da minha aplicação modificada no trabalho:
Testar conta de usuário, protegida por senha.
O meu polegar está inserido. Mostra que não há arquivos na unidade.
Navegando na conta Teste selecione e copie três arquivos que eu criei para testar com.(Alaska)
Copiado para o thumbdrive.
Logado, mostrando os arquivos que eu copiei para o thumbdrive.(Alaska)
Eu tenho estado em contato com a Microsoft através de vários e-mails explicando o problema, eu também tenho fornecido a Microsoft com os detalhes completos e o código que eu usei, e até agora a resposta não tem sido muito positiva, como parece que o empregado particular com quem falei não acredita que este seja um problema. Eu ainda estou esperando sua próxima resposta para ver que medidas a Microsoft pode tomar para remediar isso e espero que eles vão levar o problema a sério.
Esta foi a resposta dos representantes da Microsoft:
Há um par de comportamentos que fazem deste um problema que não consideraríamos uma vulnerabilidade de segurança a partir da minha compreensão do seu relatório.
- Para executar um executável diferente como admin, o arquivo a ser alterado deve ser alterado por um admin. O utilitário alterado pode então estar disponível até mesmo para usuários padrão no logon, mas a alteração deve ser feita por um usuário admin.
- O acesso físico ao sistema é necessário para executar esse comportamento. Há muitas coisas maliciosas que um usuário pode fazer com o acesso físico a um sistema e enquanto nós publicamos as melhores práticas para a segurança física de recursos informáticos, não podemos proteger contra o acesso físico em sua totalidade.
O seguinte link foi fornecido pela Microsoft afirmando que a questão foi classificada
#3 e (1)#6 nesta lista: 10 Leis Imutáveis de Segurança
O que o representante da Microsoft não conseguiu entender foi que um usuário não precisa ser um administrador para executar o código. Ele pode ser executado por qualquer pessoa com conhecimento suficiente.
O meu ponto para a Microsoft é simples. Substituir o botão Ease Of Access não deve ser tão simples. Deveriam ter sido tomadas medidas melhores para assegurar que algo tão crítico não poderia ser modificado, pois é um elemento central da tela de logon. Se eles não podem garantir isso, então deve haver uma opção, para não exibir este botão.
Se outros acharem que este é um assunto sério como eu acredito que seja, por favor contate
segurança (at) microsoft (dot) com(Alaska)
e expressem as vossas preocupações.
RECOMENDADO: Clique aqui para solucionar erros do Windows e otimizar o desempenho do sistema
Vinicius se autodenomina um usuário apaixonado de Windows que adora resolver erros do Windows em particular e escrever sobre sistemas Microsoft em geral.