Vulnerabilità

Project Zero svela 9 bypass Administrator Protection: la nuova sicurezza di Windows 11 non è inviolabile

di Redazione
scritto da Redazione 0 commenti
administrator protection windows 11 bypass

La promessa di Administrator Protection era ambiziosa: superare definitivamente le debolezze storiche di User Account Control e chiudere una delle superfici di attacco più sfruttate dal malware su Windows. Con Windows 11 25H2, Microsoft ha introdotto questa nuova funzionalità come un vero e proprio confine di sicurezza, progettato per impedire le elevazioni silenziose di privilegi. Tuttavia, un’analisi approfondita condotta da Project Zero ha dimostrato che, nonostante i miglioramenti architetturali, il sistema non è immune da bypass. Il ricercatore James Forshaw ha individuato nove vulnerabilità capaci di aggirare la protezione senza prompt, evidenziando come interazioni complesse di design nel sistema operativo possano ancora essere sfruttate.

Il contesto storico: perché UAC era diventato un problema

Per comprendere la portata di Administrator Protection, è necessario partire dai limiti storici di User Account Control. Introdotto con Windows Vista, UAC consentiva elevazioni temporanee di privilegi mantenendo però lo stesso account, lo stesso profilo e gli stessi hive di registro per il contesto limitato e quello elevato. Questa scelta architetturale, pensata per la compatibilità applicativa, ha aperto nel tempo una lunga serie di falle sfruttabili.

Con Windows 7, Microsoft ha introdotto il concetto di auto-elevazione per binari firmati, riducendo i prompt ma creando nuovi vettori di abuso. Strumenti come UACMe hanno catalogato decine di tecniche di bypass, molte delle quali ancora funzionanti in Windows 11. A un certo punto, Microsoft ha declassato UAC da boundary di sicurezza a semplice feature di convenienza, riducendo la priorità nel correggere i bypass. Questo ha lasciato una lacuna evidente nella strategia di hardening del sistema operativo.

Come funziona Administrator Protection

Administrator Protection nasce per colmare proprio questa lacuna. La nuova feature elimina la modalità “admin approval” di UAC e adotta un modello più vicino all’elevazione over-the-shoulder, ma senza richiedere la condivisione di credenziali amministrative separate. Il cuore del sistema è un account amministratore shadow, gestito internamente dal servizio UAC.

Quando un utente limitato richiede un’operazione privilegiata, il sistema non eleva il suo token esistente, ma avvia il processo sotto il contesto dell’account shadow, chiedendo all’utente l’autenticazione tramite le proprie credenziali o biometria. Questo approccio elimina la condivisione di profili, riduce i rischi di impersonificazione e rimuove del tutto l’auto-elevazione. Dal punto di vista concettuale, rappresenta un miglioramento netto rispetto a UAC.

L’analisi di Project Zero e le assunzioni iniziali

Microsoft ha invitato Project Zero ad analizzare Administrator Protection durante la fase Insider Preview di Windows 11. James Forshaw ha impostato il suo lavoro partendo da tre assunzioni fondamentali: per aggirare la nuova boundary sarebbe stato necessario compromettere il profilo dell’admin shadow, hijackare un processo già elevato oppure ottenere un’esecuzione elevata senza prompt.

Attraverso reverse engineering del servizio UAC, in particolare della libreria appinfo.dll, e una serie di test comportamentali, Forshaw ha iniziato a esplorare le interazioni tra token, sessioni di logon e gestione degli oggetti di sistema. Il risultato è stato l’individuazione di nove catene di exploit, tutte basate non su un singolo bug evidente, ma su interazioni sottili di design ereditate dal passato.

Il bypass chiave: hijacking della directory oggetti DOS

Il caso più emblematico riguarda l’hijacking della directory degli oggetti DOS. In Windows, ogni sessione di logon dispone di una directory specifica in cui il kernel risolve le lettere di drive prima di consultare quella globale. Storicamente, questa struttura è stata fonte di bypass UAC, ma in Administrator Protection assume una nuova rilevanza.

Nel nuovo modello, ogni token admin shadow possiede una sessione di logon unica, e quindi una directory DOS che non esiste ancora finché non viene creata in modo lazy dal kernel. Forshaw ha sfruttato questa caratteristica combinandola con una chiamata esposta dal servizio UAC, RAiProcessRunOnce, che consente l’avvio silenzioso di processi elevati come runonce.exe.

Attraverso una race condition, il ricercatore riesce a intercettare il processo appena avviato, duplicarne il token e impersonarlo a livello identification. In questo contesto, il kernel crea la directory DOS usando come owner il SID dell’utente limitato, concedendogli accesso completo. A quel punto, è possibile creare un symbolic link per C: che reindirizza l’accesso a file critici. Quando il processo elevato riprende l’esecuzione, carica DLL o risorse da un percorso controllato dall’attaccante, ottenendo esecuzione con privilegi amministrativi senza alcun prompt.

Perché il bypass funziona

Il successo di questa tecnica non dipende da un singolo errore, ma da una catena di cinque comportamenti legittimi del sistema operativo. La presenza di sessioni di logon uniche per l’admin shadow, la creazione lazy delle directory DOS, la disabilitazione dei controlli di accesso in determinate chiamate kernel, l’uso dell’ownership del token primario durante l’impersonificazione e le mitigazioni che bloccano la creazione precoce delle directory da parte di SYSTEM interagiscono in modo imprevisto. Administrator Protection, pur essendo più sicuro di UAC, eredita così complessità legacy difficili da eliminare senza un redesign radicale.

La risposta di Microsoft

Microsoft ha reagito rapidamente alle segnalazioni di Project Zero. Tutte e nove le vulnerabilità sono state corrette tramite aggiornamenti preview o bollettini post-rilascio, come KB5067036. In particolare, l’azienda ha bloccato la possibilità di creare directory DOS durante l’impersonificazione di token admin shadow a livello identification. È significativo che queste correzioni non siano state classificate come semplici bug, ma come hardening mirato di una funzionalità ancora in evoluzione.

Va inoltre chiarito che Microsoft ha disabilitato temporaneamente Administrator Protection dal 1 dicembre 2025, non a causa delle vulnerabilità, ma per problemi di compatibilità applicativa. Questo sottolinea come la sfida principale resti l’equilibrio tra sicurezza e retrocompatibilità.

Cosa migliora davvero rispetto a UAC

Nonostante i bypass, Administrator Protection rappresenta comunque un passo avanti reale. L’eliminazione dell’auto-elevazione e della condivisione dei profili riduce drasticamente l’efficacia di molte tecniche storiche di privilege escalation. Anche quando emergono bypass, questi richiedono catene di exploit più complesse e una conoscenza approfondita del sistema, innalzando la barriera per il malware opportunistico.

Tuttavia, l’analisi di Project Zero dimostra che incremental hardening su una base legacy ha limiti strutturali. Una soluzione ideale richiederebbe un modello più vicino a sudo o alle capabilities di Linux, ma i vincoli di compatibilità rendono questo scenario difficile nel breve termine.

Raccomandazioni operative

Per gli utenti e le organizzazioni, la lezione è chiara. Evitare l’esecuzione quotidiana come amministratore resta una misura fondamentale per ridurre l’esposizione iniziale. Quando Administrator Protection verrà riattivata in forma stabile, abilitarla significherà alzare sensibilmente la soglia contro le elevazioni silenziose, anche se non eliminarle del tutto. La ricerca di Project Zero suggerisce inoltre che nuovi bypass potrebbero emergere man mano che la feature evolve, rendendo essenziale un monitoraggio continuo e una gestione attenta degli aggiornamenti.

FAQ

Che cos’è Administrator Protection in Windows 11?

Administrator Protection è una nuova funzionalità di sicurezza introdotta in Windows 11 25H2 per sostituire User Account Control. Utilizza un account amministratore shadow per gestire le elevazioni di privilegi senza condividere profili o token con l’utente limitato.

Perché Project Zero è riuscito a bypassare Administrator Protection?

I bypass individuati da Project Zero non dipendono da un singolo bug, ma da interazioni complesse di design ereditate dal sistema operativo. In particolare, la gestione delle sessioni di logon e delle directory DOS ha permesso catene di exploit silenziose.

Microsoft ha corretto tutte le vulnerabilità scoperte?

Sì, Microsoft ha corretto tutte e nove le vulnerabilità segnalate da Project Zero tramite aggiornamenti preview e bollettini successivi, dimostrando un impegno attivo nel rafforzare la nuova feature.

Administrator Protection è comunque più sicuro di UAC?

Sì. Nonostante i bypass, Administrator Protection elimina auto-elevazione e condivisione di profili, riducendo drasticamente molte tecniche storiche di privilege escalation. Rimane però soggetto a limiti strutturali dovuti alla compatibilità legacy.

Iscriviti a Matrice Digitale

Ricevi le notizie principali direttamente nella tua casella di posta.

Niente spam, disiscriviti quando vuoi.

Potrebbe interessarti anche

Matrice Digitale partecipa al Programma Affiliazione Amazon EU, un programma di affiliazione che consente ai siti di percepire una commissione pubblicitaria pubblicizzando e fornendo link al sito Amazon.it.

La redazione di Matrice Digitale è specializzata in cybersecurity, OSINT, intelligenza artificiale e geopolitica tecnologica. Con inchieste indipendenti e analisi approfondite, raccontiamo come privacy, sorveglianza e innovazione digitale plasmano la società, anticipando i rischi e le sfide ignorate dai media tradizionali.