Kao odgovor na zabrinutost korisnika kompanija Microsoft je ipak odlučila da promeni User Account Control karakteristiku u okviru svog dolazećeg Windows 7 operativnog sistema tako da ona zahteva potvrdu od strane korisnika ukoliko se pokušava načiniti promena u podešavanjima sistema.
Ova odluka je vrsta preokreta za Microsoft koji je ranije ukazao da ne želi da korisnike opterećuje dodatnim pitanjima i zahtevima kada je u pitanju ova karakteristika uprkos debatama koje su se pojavile na mnogobrojnim blogovima a koje su uključivale pomenuto pitanje. Sa ovom povratnom informacijom i još mnogo toga odlučili smo da isporučimo dve izmene u Release Candidate verziji koje će svi imati prilike da vide, navode programeri kompanije na svom blogu.
Kao prvo UAC kontrolni panel će raditi u procesu visokog integriteta. Ova karakteristika je ušla u proces izrade još pre nego što se cela debata pokrenula i ima za cilj da spreči sve mehanizme oko SendKeys od funckionisanja. Kao drugo, promenom nivoa UAC tražiće se potvrda promene podešavanja. Debata koja se odnosi na UAC implementaciju počela je kada su Windows bloggeri Rafael Rivera i Long Zheng postovali proof-of-concept kod koji nadmudruje UAC u Windows 7 beta operativnom sistemu.
Napad omogućava hakerima da koriste prethodno odobrene Microsoft aplikacije da prevare Windows 7 i omoguće da se zlonamerni kod pokrene sa pravima potpunog pristupa. Kompanija je ovaj preokret najavila kasno 5. februara samo sat vremena nakon što se složila da popravi ono što su zvaničnici kompanije nazvali problemom sa podizanjem privilegija u Windows-u 7 koji su otkrili Zheng i Rivera.
Trenutno, podrazumevano UAC podešavanje u Windows-u 7 je podešeno samo da opomene korisnika kada programi pokušavaju da načine izmene. Prema Zhengu i Riveri, Windows 7 koristi specijalni Microsoft Windows 7 sertfikat da načini razliku između aplikacija drugih kompanija i aplikacija koje upravljaju Windows podešavanjima.
Usled činjenice da aplikacije koje su potpisane od strane Microsoft-a takođe mogu da izvrše i kod iza kojeg stoje druge kompanije i postoji inherentno poverenje za sve što je potpisano od strane Microsofta, lanac poverenja se prenosi na druge kodove treće strane, objasnio je Zheng u blogu. Kao rezultat ovoga, hakerima je omogućeno da iskoriste ovakvu situaciju i načine promene u UAC podešavanjima bez znanja korisnika, objasnili su sigurnosni istraživači.
Iako se složio da načini dodatne promene, Microsoft nastavlja da brani svoje radnje, navodeći da za sličan napad računar već mora unapred da bude ugrožen. Ovako tehnički posmatrajući stvari u suštini ne postoji ranjivost u UAC. Zvaničnici Microsoft-a navode u svom blogu da je važno uvideti koji je korak prvi - ukoliko je prvi korak „prvo dobiti kod na računaru koji radi, tada ništa nakon toga nije toliko bitno čak ni promena podešavanja ili bilo šta drugo“, obzirom da je računar već ugrožen pređašnjom akcijom zlonamernih hakera.
