返回新闻
研究

Windows 11 25H2 版本管理员保护机制绕过:严重安全漏洞解析

1分钟阅读来源: Google Project Zero

安全研究员发现 Windows 11 25H2 版本中管理员保护功能存在严重漏洞,可被攻击者悄然绕过并获取管理员权限。微软已修复所有漏洞,但该功能因兼容性问题暂时禁用。

Windows 11 25H2 版本管理员保护机制绕过漏洞被发现

安全研究员詹姆斯·福肖(James Forshaw)在微软 Windows 11 25H2 版本中新推出的**管理员保护(Administrator Protection)**功能中发现了一个严重漏洞。该漏洞允许攻击者悄然绕过安全机制,获取完全的管理员权限。微软已修复所有报告的漏洞,但截至2025年12月,该功能因兼容性问题仍处于禁用状态。

漏洞技术细节

背景:管理员保护机制

微软设计管理员保护功能旨在取代老旧的用户帐户控制(UAC)系统,后者长期以来因安全边界薄弱而饱受诟病。与 UAC 不同,管理员保护采用影子管理员帐户(shadow administrator account),并为其创建独立的登录会话(logon session)。这种方法可以防止:

  • 帐户间的配置文件资源共享(如注册表配置单元、用户目录)
  • 令牌模拟(Token impersonation)攻击
  • 微软二进制文件的自动提权(Auto-elevation)

然而,福肖的研究揭示了九种不同的绕过技术,其中之一利用了登录会话与 DOS 设备对象目录之间的复杂交互。

漏洞原理:登录会话劫持

最显著的绕过漏洞(详见 Project Zero Issue 432313668)源于 Windows 处理**登录会话(logon sessions)DOS 设备对象目录(DOS device object directories)**的方式。关键技术组件包括:

  1. 登录会话隔离:管理员保护中的每个影子管理员令牌都拥有独立的登录会话,与 UAC 的共享会话模型不同。
  2. 惰性初始化:DOS 设备对象目录(如 \Sessions\0\DosDevices\X-Y)在被访问时按需创建,而非在登录时创建。
  3. 访问检查绕过:内核函数 SeGetTokenDeviceMap 在调用 ZwCreateDirectoryObject 时未强制执行访问检查(未使用 OBJ_FORCE_ACCESS_CHECK 标志),即使在模拟识别级别令牌(identification-level token)时也允许创建目录。
  4. 所有者 SID 分配:在识别级别令牌下创建对象时,Windows 使用主令牌的所有者 SID(即受限用户),而非模拟令牌的 SID,从而授予意外的访问权限。
  5. SYSTEM 进程缓解措施:一项防止 SYSTEM 进程访问模拟令牌的 DOS 设备目录的安全功能,延迟了目录创建时间,直到进程启动后才完成,从而导致竞态条件(race condition)。

漏洞利用步骤

福肖的概念验证(PoC)需要链式组合以下行为:

  1. 通过 RAiProcessRunOnce(如 runonce.exe)创建一个挂起的影子管理员进程
  2. 在进程访问任何文件资源前打开其进程令牌
  3. 将令牌复制为识别级别令牌
  4. 在模拟影子管理员令牌时,通过访问 \?? 强制创建目录
  5. 在新创建的 DOS 设备目录中创建恶意符号链接,劫持 C: 驱动器。
  6. 恢复进程,迫使其加载攻击者控制的 DLL。

影响分析

安全影响

  • 无感知权限提升:攻击者可在无用户交互的情况下获取管理员权限,绕过预期的安全边界。
  • 遗留绕过漏洞持续存在:九种报告的漏洞中,多个是长期存在的 UAC 绕过变种(如 loopback Kerberos 滥用),表明增量改进可能继承历史弱点。
  • 复杂攻击面:该漏洞需链式组合五种不同的操作系统行为,凸显微妙的设计交互可能产生严重缺陷。

微软的响应

微软在该功能正式发布前(通过 KB5067036,2025年10月)修复了所有报告的问题。主要修复措施为:

防止在模拟识别级别的影子管理员令牌时创建 DOS 设备对象目录。

由于该漏洞在公开披露前已修复,微软未为其分配 CVE 编号。

安全团队建议

  1. 补丁管理

    • 确保系统已更新至 KB5067036 或更高版本。
    • 关注与管理员保护相关的未来安全公告。

  2. 配置最佳实践

    • 如启用管理员保护,应禁用遗留 UAC 模式(两者互斥)。
    • 限制本地管理员组成员,减少攻击面。
    • 审计提权提示,检测潜在的强制攻击(coercion attacks)。

  3. 监控与检测

    • 监控异常的 DOS 设备目录创建(如 \Sessions\0\DosDevices\* 路径)。
    • 对针对影子管理员令牌的进程令牌复制尝试发出警报。
    • 记录挂起进程创建后快速访问令牌的行为。

  4. 防御架构

    • 避免以管理员身份执行日常任务(最有效的缓解措施)。
    • 实施应用程序白名单,阻止未经授权的可执行文件。
    • 使用 Windows Defender 应用程序控制(WDAC) 强制执行代码完整性策略。

总体评估

尽管管理员保护相较于 UAC 是一项重大安全改进,但福肖的研究表明,对遗留系统的增量修改可能引入意外的攻击向量。该功能依赖影子帐户和登录会话隔离——虽然更安全——但也产生了需要仔细加固的新边界情况。

微软对这些漏洞的快速响应表明,公司正将管理员保护视为真正的安全边界,这与其历史上对 UAC 绕过漏洞的处理方式有所不同。然而,安全团队仍需保持警惕,因为:

  • 恶意软件可能会适应并针对这一新机制发起攻击。
  • 可能需要进一步的设计迭代,以平衡兼容性与安全性。
  • 该功能的临时禁用(截至2025年12月)凸显了持续存在的稳定性挑战。

目前,组织应将管理员保护视为一个不断演进的安全控制机制,并在微软解决当前兼容性问题后优先部署。

分享

TwitterLinkedIn