Эксперты нашли способ обхода новой защиты администратора Windows 11
3 мин
18
Исследователи кибербезопасности из проекта Project Zero нашли способ обойти новую защиту администратора в Windows 11 версии 25H2. По словам специалистов, в системе нашли девять уязвимостей. Эти бреши позволяют получить права администратора без уведомления пользователя. Microsoft уже исправила проблемы до релиза и в последующих патчах.
Компания сама обратилась к исследователям с просьбой найти проблемы в новой функции. Специалисты имели опыт обнаружения сложных способов обхода UAC. Защита администратора призвана решить застарелые проблемы UAC. Контроль учётных записей появился в Vista для временного повышения прав. Основная слабость в том, что обычный пользователь и администратор используют одну учётную запись с разными правами. Они делят общие файлы и настройки реестра.
В Windows 7 Microsoft добавила автоповышение прав для своих программ. Это уменьшило число запросов к пользователю, но создало лазейки. Инструмент UACMe содержит 81 способ обхода UAC. Многие методы работают до сих пор. Вредоносное ПО регулярно использует известные способы обхода.
В системе уже есть более безопасный механизм — запрос пароля администратора. Он требует ввода учётных данных от отдельной учётной записи с правами администратора. Новая защита использует отдельную теневую учётную запись администратора. Служба UAC создаёт её автоматически. Пользователю не нужно знать пароль, система может запросить биометрию.
Самая интересная уязвимость связана с сеансами входа в систему. Когда пользователь входит в Windows, система создаёт уникальный сеанс с токеном доступа. UAC создаёт отдельные сеансы для обычного пользователя и администратора. Ядро использует сеансы при работе с буквами дисков. Для каждого сеанса существует свой каталог устройств.
Ядро создаёт каталог устройств DOS при первом обращении к нему. Код создания отключает проверку прав доступа для корректной работы. Раньше метод не работал на практике, потому что каталог создавался при запуске первого процесса администратора.
Защита администратора изменила ситуацию, поэтому каждый раз создаётся новый сеанс входа для теневого администратора. Любой токен имеет уникальный сеанс без созданного каталога устройств. Для эксплуатации нужно запустить процесс теневого администратора через специальный API службы UAC. Затем открыть процесс до обращения к файлам и получить его токен. Следующий шаг — принудительно создать каталог устройств с этим токеном, а затем символическую ссылку на диск C. После этого остаётся дождаться загрузки перенаправленной библиотеки.
Проблема возникает из-за пяти особенностей работы системы. Защита администратора создаёт новый сеанс для каждого токена. Каталог создаётся по требованию. Ядро отключает проверку прав при создании. При ограниченном уровне токена владельцем становится основной пользователь.
Microsoft исправила проблему, запретив создание каталога при использовании токена теневого администратора с ограниченным уровнем. Исправление добавили в обновление KB5067036. Также разработчики отключили защиту из-за проблем совместимости приложений.
