ZURÜCK ZU NACHRICHTEN
ForschungHoch

Windows 11: Kritische Sicherheitslücke im Administrator-Schutz umgangen

4 Min. LesezeitQuelle: Google Project Zero

Sicherheitsforscher entdeckt schwerwiegende Schwachstelle im neuen Administrator-Schutz von Windows 11 25H2 – Angreifer konnten Admin-Rechte ohne Nutzerinteraktion erlangen. Alle Lücken wurden behoben.

Kritische Sicherheitslücke im Administrator-Schutz von Windows 11 25H2 entdeckt

Der Sicherheitsforscher James Forshaw hat eine kritische Schwachstelle in Microsofts neuem Administrator Protection-Feature identifiziert, das mit Windows 11 Version 25H2 eingeführt wurde. Die Lücke ermöglichte Angreifern, den Sicherheitsmechanismus unbemerkt zu umgehen und volle Administratorrechte zu erlangen. Alle gemeldeten Schwachstellen wurden von Microsoft behoben, allerdings bleibt das Feature aufgrund nicht damit zusammenhängender Kompatibilitätsprobleme bis Dezember 2025 deaktiviert.

Technische Details der Umgehung

Hintergrund: Administrator Protection

Microsoft entwickelte Administrator Protection als Ersatz für das veraltete User Account Control (UAC)-System, das seit langem für seine schwachen Sicherheitsgrenzen kritisiert wird. Im Gegensatz zu UAC, das Profilressourcen (z. B. Registry-Hives, Benutzerverzeichnisse) zwischen Standard- und Administrator-Konten teilte, nutzt Administrator Protection ein Schatten-Administrator-Konto mit einer separaten Anmeldesitzung. Dieser Ansatz verhindert:

  • Die gemeinsame Nutzung von Profilressourcen zwischen Konten
  • Token-Impersonation-Angriffe
  • Die automatische Erhöhung von Microsoft-Binärdateien

Forshaws Untersuchungen deckten jedoch neun verschiedene Umgehungstechniken auf, von denen eine eine komplexe Interaktion zwischen Anmeldesitzungen und DOS-Geräteobjektverzeichnissen ausnutzte.

Die Schwachstelle: Hijacking von Anmeldesitzungen

Die bedeutendste Umgehung (detailliert in Project Zero Issue 432313668) resultierte aus der Art und Weise, wie Windows Anmeldesitzungen und DOS-Geräteobjektverzeichnisse handhabt. Die wichtigsten technischen Komponenten umfassten:

  1. Isolierung von Anmeldesitzungen: Jedes Schatten-Administrator-Token in Administrator Protection erhält eine eindeutige Anmeldesitzung, im Gegensatz zum geteilten Sitzungsmodell von UAC.
  2. Lazy Initialization: DOS-Geräteobjektverzeichnisse (z. B. \Sessions\0\DosDevices\X-Y) werden bei Bedarf erstellt, wenn darauf zugegriffen wird, und nicht während der Anmeldung.
  3. Umgehung der Zugriffskontrolle: Die Kernel-Funktion SeGetTokenDeviceMap verwendet ZwCreateDirectoryObject ohne Durchsetzung von Zugriffskontrollen (OBJ_FORCE_ACCESS_CHECK-Flag), was die Erstellung von Verzeichnissen selbst bei Identifikations-Token-Impersonation ermöglicht.
  4. Zuweisung der Owner-SID: Beim Erstellen von Objekten unter einem Identifikations-Token verwendet Windows die Owner-SID des primären Tokens (des Standardbenutzers) anstelle der SID des impersonierten Tokens, was unbeabsichtigten Zugriff gewährt.
  5. SYSTEM-Prozess-Mitigation: Eine Sicherheitsfunktion, die verhindert, dass SYSTEM-Prozesse auf DOS-Geräteverzeichnisse impersonierter Token zugreifen, verzögerte die Verzeichniserstellung bis nach dem Prozessstart und ermöglichte so die Race Condition.

Exploit-Schritte

Forshaws Proof-of-Concept erforderte die Verkettung dieser Verhaltensweisen:

  1. Starten eines suspendierten Schatten-Admin-Prozesses über RAiProcessRunOnce (z. B. runonce.exe).
  2. Öffnen des Prozesstokens, bevor dieser auf Dateiressourcen zugreift.
  3. Duplizieren des Tokens als Identifikations-Token.
  4. Erzwingen der Verzeichniserstellung durch Zugriff auf \??, während das Schatten-Admin-Token impersoniert wird.
  5. Erstellen eines bösartigen Symlinks im neuen DOS-Geräteverzeichnis, um das C:-Laufwerk zu kapern.
  6. Fortsetzen des Prozesses, wodurch dieser angreifergesteuerte DLLs lädt.

Auswirkungen der Schwachstelle

Sicherheitsrelevante Konsequenzen

  • Stille Rechteausweitung: Angreifer konnten Administratorrechte ohne Nutzerinteraktion erlangen und dabei die vorgesehene Sicherheitsgrenze umgehen.
  • Persistenz bekannter Umgehungen: Mehrere der neun gemeldeten Schwachstellen waren Varianten langjähriger UAC-Umgehungen (z. B. Loopback-Kerberos-Missbrauch), was zeigt, wie inkrementelle Verbesserungen historische Schwächen erben können.
  • Komplexe Angriffsoberfläche: Die Schwachstelle erforderte die Verkettung von fünf unterschiedlichen OS-Verhaltensweisen, was verdeutlicht, wie subtile Designinteraktionen kritische Fehler verursachen können.

Microsofts Reaktion

Microsoft behob alle gemeldeten Probleme vor der offiziellen Veröffentlichung des Features in KB5067036 (Oktober 2025). Die primäre Korrektur:

Verhindert die Erstellung von DOS-Geräteobjektverzeichnissen bei der Impersonation von Schatten-Administrator-Token auf Identifikationsebene.

Für diese spezifische Umgehung wurde keine CVE zugewiesen, da sie vor der öffentlichen Bekanntgabe behoben wurde.

Empfehlungen für Sicherheitsteams

  1. Patch-Management:

    • Stellen Sie sicher, dass Systeme mit KB5067036 oder neueren Updates aktualisiert sind.
    • Überwachen Sie zukünftige Sicherheitsbulletins im Zusammenhang mit Administrator Protection.

  2. Best Practices für die Konfiguration:

    • Deaktivieren Sie veraltete UAC-Modi, wenn Administrator Protection aktiviert ist (beide sind gegenseitig ausschließend).
    • Beschränken Sie die Mitgliedschaft in der lokalen Administratorgruppe, um die Angriffsoberfläche zu minimieren.
    • Überwachen Sie Erhöhungsaufforderungen, um potenzielle Coercion-Angriffe zu erkennen.

  3. Überwachung und Erkennung:

    • Achten Sie auf ungewöhnliche Erstellung von DOS-Geräteverzeichnissen (z. B. \Sessions\0\DosDevices\*-Pfade).
    • Alarmieren Sie bei Versuchen, Prozesstoken zu duplizieren, die auf Schatten-Admin-Token abzielen.
    • Protokollieren Sie die Erstellung suspendierter Prozesse, gefolgt von schnellem Token-Zugriff.

  4. Defensive Architektur:

    • Vermeiden Sie die Ausführung als Administrator für tägliche Aufgaben (die effektivste Gegenmaßnahme).
    • Implementieren Sie Application Whitelisting, um nicht autorisierte ausführbare Dateien zu blockieren.
    • Nutzen Sie Windows Defender Application Control (WDAC), um Code-Integritätsrichtlinien durchzusetzen.

Abschließende Bewertung

Obwohl Administrator Protection eine bedeutende Sicherheitsverbesserung gegenüber UAC darstellt, zeigt Forshaws Forschung, dass inkrementelle Änderungen an Legacy-Systemen unerwartete Angriffsvektoren einführen können. Die Abhängigkeit des Features von Schattenkonten und der Isolierung von Anmeldesitzungen – obwohl sicherer – schuf neue Edge Cases, die sorgfältige Härtung erforderten.

Microsofts schnelle Reaktion auf diese Schwachstellen deutet darauf hin, dass das Unternehmen Administrator Protection als echte Sicherheitsgrenze behandelt, was eine Abkehr von der historischen Herangehensweise an UAC-Umgehungen darstellt. Dennoch sollten Sicherheitsteams wachsam bleiben, da:

  • Malware sich wahrscheinlich anpassen wird, um diesen neuen Mechanismus ins Visier zu nehmen.
  • Weitere Design-Iterationen erforderlich sein könnten, um Kompatibilitäts- und Sicherheitstrade-offs zu adressieren.
  • Die vorübergehende Deaktivierung des Features (Stand Dezember 2025) die anhaltenden Stabilitätsherausforderungen unterstreicht.

Für den Moment sollten Organisationen Administrator Protection als sich weiterentwickelnden Sicherheitskontrollmechanismus behandeln und dessen Einsatz priorisieren, sobald Microsoft die aktuellen Kompatibilitätsprobleme gelöst hat.

Teilen

TwitterLinkedIn