Bypass de Protección de Administrador en Windows 11: Vulnerabilidad Crítica en Nueva Función de Seguridad

Bypass de Protección de Administrador en Windows 11 25H2 Descubierto

El investigador de seguridad James Forshaw ha identificado una vulnerabilidad crítica en la nueva función Protección de Administrador de Microsoft, introducida en Windows 11 versión 25H2. Esta falla permitía a los atacantes eludir silenciosamente el mecanismo de seguridad y obtener privilegios completos de administrador. Todas las vulnerabilidades reportadas han sido parcheadas por Microsoft, aunque la función permanece deshabilitada a partir de diciembre de 2025 debido a problemas de compatibilidad no relacionados.

Detalles Técnicos del Bypass

Antecedentes: Protección de Administrador

Microsoft diseñó Protección de Administrador para reemplazar el antiguo sistema User Account Control (UAC), que ha sido criticado durante mucho tiempo por sus débiles límites de seguridad. A diferencia del UAC, que compartía recursos de perfil (como hives del registro y directorios de usuario) entre cuentas limitadas y de administrador, la Protección de Administrador utiliza una cuenta de administrador en la sombra con una sesión de inicio de sesión (logon session) separada. Este enfoque previene:

• El intercambio de recursos de perfil entre cuentas
• Ataques de suplantación de tokens (token impersonation)
• La autoelevación de binarios de Microsoft

Sin embargo, la investigación de Forshaw descubrió nueve técnicas distintas de bypass, una de las cuales explotaba una interacción compleja entre sesiones de inicio de sesión y directorios de objetos de dispositivos DOS.

La Vulnerabilidad: Secuestro de Sesión de Inicio de Sesión

El bypass más notable (detallado en Project Zero Issue 432313668) surgió de cómo Windows maneja las sesiones de inicio de sesión (logon sessions) y los directorios de objetos de dispositivos DOS (DOS device object directories). Los componentes técnicos clave incluyeron:

1. Aislamiento de Sesión de Inicio de Sesión: Cada token de administrador en la sombra en la Protección de Administrador recibe una sesión de inicio de sesión única, a diferencia del modelo de sesión compartida del UAC.
2. Inicialización Perezosa: Los directorios de objetos de dispositivos DOS (ej. \Sessions\0\DosDevices\X-Y) se crean bajo demanda cuando se accede a ellos, no durante el inicio de sesión.
3. Bypass de Verificación de Acceso: La función del kernel SeGetTokenDeviceMap utiliza ZwCreateDirectoryObject sin aplicar verificaciones de acceso (OBJ_FORCE_ACCESS_CHECK), permitiendo la creación de directorios incluso al suplantar un token de nivel de identificación.
4. Asignación de SID de Propietario: Al crear objetos bajo un token de nivel de identificación, Windows utiliza el SID del propietario del token primario (el usuario limitado) en lugar del SID del token suplantado, otorgando acceso no intencionado.
5. Mitigación del Proceso SYSTEM: Una característica de seguridad que evita que los procesos SYSTEM accedan a los directorios de dispositivos DOS de tokens suplantados retrasó la creación del directorio hasta después del inicio del proceso, habilitando la condición de carrera (race condition).

Pasos de Explotación

La prueba de concepto de Forshaw requirió encadenar estos comportamientos:

1. Generar un proceso de administrador en la sombra suspendido mediante RAiProcessRunOnce (ej. runonce.exe).
2. Abrir el token del proceso antes de que acceda a cualquier recurso de archivo.
3. Duplicar el token como un token de nivel de identificación.
4. Forzar la creación del directorio accediendo a \?? mientras se suplanta el token del administrador en la sombra.
5. Crear un enlace simbólico malicioso en el nuevo directorio de dispositivos DOS para secuestrar la unidad C:.
6. Reanudar el proceso, forzándolo a cargar DLLs controladas por el atacante.

Análisis de Impacto

Implicaciones de Seguridad

• Escalada de Privilegios Silenciosa: Los atacantes podían obtener privilegios de administrador sin interacción del usuario, eludiendo el límite de seguridad previsto.
• Persistencia de Bypass Legados: Varias de las nueve fallas reportadas eran variaciones de bypasses de UAC de larga data (ej. abuso de Kerberos en loopback), demostrando cómo las mejoras incrementales pueden heredar debilidades históricas.
• Superficie de Ataque Compleja: La vulnerabilidad requería encadenar cinco comportamientos distintos del sistema operativo, destacando cómo interacciones sutiles de diseño pueden crear fallas críticas.

Respuesta de Microsoft

Microsoft abordó todos los problemas reportados antes del lanzamiento oficial de la función en KB5067036 (octubre de 2025). La solución principal:

"Evita la creación de directorios de objetos de dispositivos DOS al suplantar tokens de administrador en la sombra a nivel de identificación."

No se asignó un CVE a este bypass específico, ya que fue corregido antes de su divulgación pública.

Recomendaciones para Equipos de Seguridad

1. Gestión de Parches:

   • Asegurar que los sistemas estén actualizados con KB5067036 o versiones posteriores.
   • Monitorear futuros boletines de seguridad relacionados con la Protección de Administrador.

2. Mejores Prácticas de Configuración:

   • Deshabilitar modos legacy de UAC si la Protección de Administrador está habilitada (son mutuamente excluyentes).
   • Restringir la membresía del grupo de administradores locales para minimizar la superficie de ataque.
   • Auditar solicitudes de elevación para detectar posibles ataques de coerción (coercion attacks).

3. Monitoreo y Detección:

   • Vigilar la creación inusual de directorios de dispositivos DOS (ej. rutas \Sessions\0\DosDevices\*).
   • Alertar sobre intentos de duplicación de tokens de procesos dirigidos a tokens de administrador en la sombra.
   • Registrar la creación de procesos suspendidos seguida de acceso rápido al token.

4. Arquitectura Defensiva:

   • Evitar ejecutar tareas diarias como administrador (la mitigación más efectiva).
   • Implementar listas blancas de aplicaciones para bloquear ejecutables no autorizados.
   • Usar Windows Defender Application Control (WDAC) para aplicar políticas de integridad de código.

Evaluación Final

Aunque la Protección de Administrador representa una mejora significativa de seguridad respecto al UAC, la investigación de Forshaw demuestra que los cambios incrementales en sistemas legacy pueden introducir vectores de ataque inesperados. La dependencia de la función en cuentas en la sombra y el aislamiento de sesiones de inicio de sesión —aunque más seguras— crearon nuevos casos límite que requirieron un endurecimiento cuidadoso.

La respuesta rápida de Microsoft a estas vulnerabilidades sugiere que la compañía está tratando la Protección de Administrador como un verdadero límite de seguridad, un cambio respecto a su enfoque histórico con los bypasses de UAC. Sin embargo, los equipos de seguridad deben permanecer vigilantes, ya que:

• El malware probablemente se adaptará para atacar este nuevo mecanismo.
• Podrían ser necesarias más iteraciones de diseño para abordar compromisos entre compatibilidad y seguridad.
• La deshabilitación temporal de la función (a diciembre de 2025) subraya desafíos continuos de estabilidad.

Por ahora, las organizaciones deben tratar la Protección de Administrador como un control de seguridad en evolución y priorizar su implementación una vez que Microsoft resuelva los problemas de compatibilidad actuales.