Falha Crítica em Novo Recurso de Segurança do Windows 11: Bypass na Proteção de Administrador

Falha na Proteção de Administrador do Windows 11 Descoberta na Versão 25H2

O pesquisador de segurança James Forshaw identificou uma vulnerabilidade crítica no novo recurso de Proteção de Administrador da Microsoft, introduzido no Windows 11 versão 25H2. Essa falha permitia que atacantes contornassem silenciosamente o mecanismo de segurança e obtivessem privilégios completos de administrador. Todas as vulnerabilidades reportadas foram corrigidas pela Microsoft, embora o recurso permaneça desativado até dezembro de 2025 devido a problemas de compatibilidade não relacionados.

Detalhes Técnicos do Bypass

Contexto: Proteção de Administrador

A Microsoft projetou a Proteção de Administrador para substituir o antigo sistema User Account Control (UAC), que há muito é criticado por suas frágeis fronteiras de segurança. Diferentemente do UAC, que compartilhava recursos de perfil (como hives do registro e diretórios de usuário) entre contas limitadas e de administrador, a Proteção de Administrador utiliza uma conta de administrador sombra com uma sessão de logon separada. Essa abordagem previne:

• Compartilhamento de recursos de perfil entre contas
• Ataques de impersonação de token
• Autoelevação de binários da Microsoft

No entanto, a pesquisa de Forshaw revelou nove técnicas distintas de bypass, uma das quais explorava uma interação complexa entre sessões de logon e diretórios de objetos de dispositivos DOS.

A Vulnerabilidade: Sequestro de Sessão de Logon

O bypass mais notável (detalhado no Project Zero Issue 432313668) decorria da forma como o Windows lida com sessões de logon e diretórios de objetos de dispositivos DOS. Os principais componentes técnicos incluíam:

1. Isolamento de Sessão de Logon: Cada token de administrador sombra na Proteção de Administrador recebe uma sessão de logon única, ao contrário do modelo de sessão compartilhada do UAC.
2. Inicialização Tardia: Diretórios de objetos de dispositivos DOS (ex.: \Sessions\0\DosDevices\X-Y) são criados sob demanda quando acessados, não durante o logon.
3. Bypass de Verificação de Acesso: A função do kernel SeGetTokenDeviceMap utiliza ZwCreateDirectoryObject sem impor verificações de acesso (flag OBJ_FORCE_ACCESS_CHECK), permitindo a criação de diretórios mesmo ao impersonar um token de nível de identificação.
4. Atribuição de SID do Proprietário: Ao criar objetos sob um token de nível de identificação, o Windows utiliza o SID do proprietário do token primário (o usuário limitado) em vez do SID do token impersonado, concedendo acesso não intencional.
5. Mitigação do Processo SYSTEM: Um recurso de segurança que impede processos SYSTEM de acessar diretórios de dispositivos DOS de tokens impersonados atrasava a criação do diretório até após a inicialização do processo, possibilitando a condição de corrida.

Etapas de Exploração

A prova de conceito de Forshaw exigiu o encadeamento desses comportamentos:

1. Criar um processo de administrador sombra suspenso via RAiProcessRunOnce (ex.: runonce.exe).
2. Abrir o token do processo antes que ele acesse qualquer recurso de arquivo.
3. Duplicar o token como um token de nível de identificação.
4. Forçar a criação do diretório acessando \?? enquanto impersona o token do administrador sombra.
5. Criar um symlink malicioso no novo diretório de dispositivos DOS para sequestrar a unidade C:.
6. Retomar o processo, forçando-o a carregar DLLs controladas pelo atacante.

Análise de Impacto

Implicações de Segurança

• Escalonamento Silencioso de Privilégios: Atacantes poderiam obter privilégios de administrador sem interação do usuário, contornando a fronteira de segurança pretendida.
• Persistência de Bypasses Legados: Várias das nove falhas reportadas eram variações de bypasses antigos do UAC (ex.: abuso de Kerberos via loopback), demonstrando como melhorias incrementais podem herdar fraquezas históricas.
• Superfície de Ataque Complexa: A vulnerabilidade exigiu o encadeamento de cinco comportamentos distintos do sistema operacional, destacando como interações sutis de design podem criar falhas críticas.

Resposta da Microsoft

A Microsoft corrigiu todos os problemas reportados antes do lançamento oficial do recurso no KB5067036 (outubro de 2025). A principal correção:

"Impede a criação de diretórios de objetos de dispositivos DOS ao impersonar tokens de administrador sombra em nível de identificação."

Nenhum CVE foi atribuído a esse bypass específico, pois foi corrigido antes da divulgação pública.

Recomendações para Equipes de Segurança

1. Gerenciamento de Patches:

   • Garanta que os sistemas estejam atualizados com o KB5067036 ou versões posteriores.
   • Monitore boletins de segurança futuros relacionados à Proteção de Administrador.

2. Melhores Práticas de Configuração:

   • Desative modos legados do UAC se a Proteção de Administrador estiver habilitada (são mutuamente exclusivos).
   • Restrinja a associação ao grupo de administradores locais para minimizar a superfície de ataque.
   • Audite prompts de elevação para detectar possíveis ataques de coerção.

3. Monitoramento e Detecção:

   • Monitore a criação incomum de diretórios de dispositivos DOS (ex.: caminhos \Sessions\0\DosDevices\*).
   • Alerte sobre tentativas de duplicação de tokens de processo direcionadas a tokens de administrador sombra.
   • Registre a criação de processos suspensos seguida de acesso rápido ao token.

4. Arquitetura Defensiva:

   • Evite executar como administrador em tarefas diárias (a mitigação mais eficaz).
   • Implemente lista branca de aplicações para bloquear executáveis não autorizados.
   • Utilize o Windows Defender Application Control (WDAC) para impor políticas de integridade de código.

Avaliação Final

Embora a Proteção de Administrador represente uma melhoria significativa de segurança em relação ao UAC, a pesquisa de Forshaw demonstra que mudanças incrementais em sistemas legados podem introduzir vetores de ataque inesperados. A dependência do recurso em contas sombra e isolamento de sessão de logon — embora mais seguro — criou novos casos extremos que exigiram um endurecimento cuidadoso.

A resposta rápida da Microsoft a essas vulnerabilidades sugere que a empresa está tratando a Proteção de Administrador como uma verdadeira fronteira de segurança, uma mudança em relação à sua abordagem histórica aos bypasses do UAC. No entanto, as equipes de segurança devem permanecer vigilantes, pois:

• Malwares provavelmente se adaptarão para atacar esse novo mecanismo.
• Novas iterações de design podem ser necessárias para equilibrar compatibilidade e segurança.
• A desativação temporária do recurso (até dezembro de 2025) ressalta desafios contínuos de estabilidade.

Por enquanto, as organizações devem tratar a Proteção de Administrador como um controle de segurança em evolução e priorizar sua implantação assim que a Microsoft resolver os atuais problemas de compatibilidade.