НАЗАД К НОВОСТЯМ
ИсследованияВысокий

Обход защиты администратора в Windows 11: Критическая уязвимость в новой функции безопасности

5 мин чтенияИсточник: Google Project Zero

Исследователь обнаружил критическую уязвимость в функции Administrator Protection Windows 11 25H2, позволяющую обойти защиту и получить права администратора. Все уязвимости устранены Microsoft.

Обнаружен обход защиты администратора в Windows 11 версии 25H2

Исследователь в области кибербезопасности Джеймс Форшоу (James Forshaw) выявил критическую уязвимость в новой функции Administrator Protection, представленной в Windows 11 версии 25H2. Эта уязвимость позволяла злоумышленникам незаметно обходить механизм защиты и получать полные права администратора. Все обнаруженные уязвимости были устранены Microsoft, однако функция остается отключенной по состоянию на декабрь 2025 года из-за не связанных с безопасностью проблем совместимости.

Технические детали уязвимости

Контекст: Administrator Protection

Microsoft разработала Administrator Protection для замены устаревшей системы User Account Control (UAC), которая долгое время критиковалась за слабые границы безопасности. В отличие от UAC, которая использовала общие ресурсы профиля (например, кусты реестра, пользовательские каталоги) между учетными записями с ограниченными правами и администраторами, Administrator Protection использует теневую учетную запись администратора с отдельной сессией входа в систему. Этот подход предотвращает:

  • совместное использование ресурсов профиля между учетными записями;
  • атаки с подменой токенов (token impersonation);
  • автоматическое повышение привилегий для бинарных файлов Microsoft.

Однако исследование Форшоу выявило девять различных методов обхода защиты, один из которых эксплуатировал сложное взаимодействие между сессиями входа в систему и каталогами объектов DOS-устройств.

Уязвимость: Перехват сессии входа в систему

Наиболее заметный метод обхода (подробно описан в Project Zero Issue 432313668) был связан с тем, как Windows обрабатывает сессии входа в систему и каталоги объектов DOS-устройств. Ключевые технические компоненты включали:

  1. Изоляция сессий входа: Каждый токен теневого администратора в Administrator Protection получает уникальную сессию входа, в отличие от модели UAC с общей сессией.
  2. Ленивая инициализация: Каталоги объектов DOS-устройств (например, \Sessions\0\DosDevices\X-Y) создаются по требованию при доступе, а не во время входа в систему.
  3. Обход проверки доступа: Функция ядра SeGetTokenDeviceMap использует ZwCreateDirectoryObject без принудительной проверки доступа (OBJ_FORCE_ACCESS_CHECK), что позволяет создавать каталоги даже при подмене токена уровня идентификации.
  4. Назначение SID владельца: При создании объектов под токеном уровня идентификации Windows использует SID владельца основного токена (ограниченного пользователя), а не SID подменяемого токена, что предоставляет непреднамеренный доступ.
  5. Меры защиты процесса SYSTEM: Функция безопасности, предотвращающая доступ процессов SYSTEM к каталогам DOS-устройств подменяемых токенов, задерживала создание каталогов до завершения запуска процесса, что создавало условия для гонки.

Этапы эксплуатации

Доказательство концепции Форшоу требовало объединения этих поведений:

  1. Запуск приостановленного процесса теневого администратора через RAiProcessRunOnce (например, runonce.exe).
  2. Открытие токена процесса до его доступа к каким-либо файловым ресурсам.
  3. Дублирование токена как токена уровня идентификации.
  4. Принудительное создание каталога путем доступа к \?? при подмене токена теневого администратора.
  5. Создание вредоносного символического ссылки в новом каталоге DOS-устройств для перехвата диска C:.
  6. Возобновление процесса, что приводило к загрузке контролируемых злоумышленником DLL-библиотек.

Анализ последствий

Влияние на безопасность

  • Тихое повышение привилегий: Злоумышленники могли получить права администратора без взаимодействия с пользователем, обходя предполагаемую границу безопасности.
  • Устойчивость старых методов обхода: Несколько из девяти обнаруженных уязвимостей были вариациями давно известных методов обхода UAC (например, злоупотребление Kerberos через loopback), что демонстрирует, как постепенные улучшения могут наследовать исторические уязвимости.
  • Сложная поверхность атаки: Для эксплуатации уязвимости требовалось объединение пяти различных поведений ОС, что подчеркивает, как тонкие взаимодействия в дизайне могут создавать критические уязвимости.

Реакция Microsoft

Microsoft устранила все обнаруженные проблемы до официального выпуска функции в обновлении KB5067036 (октябрь 2025 года). Основное исправление:

Предотвращает создание каталогов объектов DOS-устройств при подмене токенов теневых администраторов на уровне идентификации.

Для этой уязвимости не был присвоен идентификатор CVE, так как она была устранена до публичного раскрытия.

Рекомендации для служб безопасности

  1. Управление обновлениями:

    • Убедитесь, что системы обновлены до KB5067036 или более поздней версии.
    • Следите за будущими бюллетенями безопасности, связанными с Administrator Protection.

  2. Лучшие практики конфигурации:

    • Отключите устаревшие режимы UAC, если включена функция Administrator Protection (они взаимно исключают друг друга).
    • Ограничьте членство в локальной группе администраторов для минимизации поверхности атаки.
    • Проводите аудит запросов на повышение привилегий для обнаружения потенциальных атак с принуждением.

  3. Мониторинг и обнаружение:

    • Отслеживайте необычное создание каталогов DOS-устройств (например, пути \Sessions\0\DosDevices\*).
    • Настройте оповещения о попытках дублирования токенов процессов, нацеленных на токены теневых администраторов.
    • Регистрируйте создание приостановленных процессов, за которыми следует быстрый доступ к токенам.

  4. Защитная архитектура:

    • Избегайте работы с правами администратора для повседневных задач (наиболее эффективная мера защиты).
    • Внедрите белые списки приложений для блокировки несанкционированных исполняемых файлов.
    • Используйте Windows Defender Application Control (WDAC) для обеспечения политик целостности кода.

Итоговая оценка

Хотя Administrator Protection представляет собой значительное улучшение безопасности по сравнению с UAC, исследование Форшоу демонстрирует, что постепенные изменения в устаревших системах могут приводить к неожиданным векторам атак. Опора функции на теневые учетные записи и изоляцию сессий входа — хотя и более безопасная — создала новые пограничные случаи, требующие тщательного усиления защиты.

Быстрое реагирование Microsoft на эти уязвимости свидетельствует о том, что компания рассматривает Administrator Protection как настоящую границу безопасности, что отличается от исторического подхода к обходам UAC. Тем не менее, службам безопасности следует сохранять бдительность, так как:

  • Вредоносное ПО, вероятно, адаптируется для атаки на этот новый механизм.
  • Могут потребоваться дальнейшие итерации дизайна для устранения компромиссов между совместимостью и безопасностью.
  • Временное отключение функции (по состоянию на декабрь 2025 года) подчеркивает продолжающиеся проблемы стабильности.

На данный момент организациям следует рассматривать Administrator Protection как развивающийся элемент управления безопасностью и уделить приоритетное внимание ее развертыванию после того, как Microsoft решит текущие проблемы совместимости.

Поделиться

TwitterLinkedIn