Microsoft „na twardo” milczał przez dłuższy czas, wydał poprawkę, która miała zamknąć temat i… sprawa się wysypała. Project Zero od Google’a doprowadził do publicznego ujawnienia luki w eksperymentalnej funkcji Windows 11, która miała… poprawić bezpieczeństwo administratorów. Miała, bo niczego nie poprawia: wręcz przeciwnie. 

Project Zero to jeden z tych zespołów Google’a, które można uznać za naprawdę potrzebne. Czasami są po prostu tępym obuchem dla innych firm, a nierzadko bywają też silnie obosiecznym mieczem dla macierzystych rozwiązań. Ich zadaniem jest wyszukiwanie luk bezpieczeństwa zarówno w produktach własnych, jak i w oprogramowaniu firm trzecich. W przypadku ujawnienia błędu producent dostaje 90 dni na przygotowanie poprawki. Po tym czasie szczegóły luki są ujawniane publicznie, niezależnie od stanu prac. Kontrowersyjne, ale nierzadko skuteczne.

Jest tu zatem i kij i marchewka. Z jednej strony chroni użytkowników, z drugiej — wymusza tempo na dostawcach. W przeszłości Project Zero ujawniał podatności m.in. w rzeczonym Windowsie, ChromeOS, CentOS i popularnych bibliotekach open source’owych. Tym razem padło na Windowsa 11 i jego eksperymentalną funkcję.

Administrator Protection pod ostrzałem

Problem dotyczy funkcji Administrator Protection, rozwijanej obecnie w Windows 11 w kanale Insider Preview. Założenie główne brzmi całkiem rozsądnie: użytkownik pracuje na koncie o obniżonych uprawnieniach, a pełne prawa administratora są przyznawane tylko wtedy, gdy są faktycznie potrzebne. Autoryzacja odbywa się przez Windows Hello, a system korzysta z odizolowanego tokena administracyjnego.

To trochę, jak znane z Linuksa czy macOS mechanizmy podnoszenia uprawnień „na chwilę”: na poziomie ideowym to działa trochę jak linuksowe „sudo”. I tak samo ogranicza ono skutki ataków i błędów użytkownika. Jak się okazało — diabeł tkwi w szczegółach implementacji.

Czytaj dalej poniżej Zaczęły się żniwa dla hakerów. Jeżeli tak wyszukujesz, ryzykujesz NASA była podatna na atak hakerski przez 3 lata. Rozwiązanie problemu wbija w fotel Jak działa luka eskalacji uprawnień?

James Forshaw, badacz Project Zero, odkrył tam błąd typu elevation of privilege. Umożliwia on procesowi o niskich uprawnieniach przejęcie kontroli nad procesem mającym dostęp do interfejsu użytkownika. Taki proces może następnie zostać wykorzystany do uzyskania pełnych praw administratora.

Warstwa ochrony systemowej, która miała pilnować granicy między „zwykłym użytkownikiem” a administratorem, daje się obejść w trywialny sposób. Forshaw zgłosił problem Microsoftowi 8 sierpnia. Termin 90 dni mijał 6 listopada, ale firma otrzymała przedłużenie i 12 listopada dostarczyła poprawkę, przypisując jej identyfikator CVE-2025-60718. Czy to pomogło? A gdzie tam. Dziś mamy 17 grudnia, a Google już jest za momentem upublicznienia szczegółów luki.

Sprawa się rypła

Forshaw wrócił do tematu po kilku tygodniach i stwierdził, że łatka nie eliminuje problemu w całości. Luka wciąż może być wykorzystana inną ścieżką. Co istotne, Microsoft nie odpowiedział na ponowne zgłoszenie, a cisza ze strony producenta uruchomiła standardową procedurę Project Zero: czyli publiczne ujawnienie szczegółów. Była marchewka, a teraz mamy już wielki, gruby kij baseballowy. PR-owo… to katastrofa dla Microsoftu. Niby poprawka istnieje, ale i tak badacz twierdzi, że zabezpieczenie jest pozorne. 

Trzeba być jednak w porządku z faktami. Luka ma charakter lokalnej eskalacji uprawnień, co oznacza, że atakujący musi mieć fizyczny dostęp do komputera lub możliwość uruchomienia na nim własnego kodu. Nie jest to więc podatność, którą da się masowo wykorzystać, choćby zdalnie.

Dodatkowo Administrator Protection jest obecnie dostępne tylko w wybranych wersjach Insider i trzeba je włączyć ręcznie. Krąg potencjalnie narażonych użytkowników jest więc bardzo niewielki. Powiedzmy, że jest to problem na etapie produkcji docelowego rozwiązania, a nie już w kręgu wszystkich. Niemniej, gdyby nie Project Zero, Microsoft najpewniej pokpiłby temat całkowicie.

Lekcja przed premierą

Administrator Protection ma w przyszłości trafić do stabilnych wydań Windows 11. Cała sytuacja wskazuje jasno, jak istotne jest publiczne testowanie i bezwzględne audyty zanim nowa funkcja bezpieczeństwa stanie się narzędziem w rękach użytkowników. Historia zna wiele przypadków, w których świeżo dodana warstwa ochrony okazywała się zwyczajnie wektorem nowego ataku.

Czytaj również: Mnóstwo nowości w Windows 11. Oto zapowiedź dużej aktualizacji

Błąd został wykryty wcześnie, przez zewnętrznych ekspertów, w kontrolowanym środowisku testowym. Jeśli Microsoft teraz potraktuje sprawę poważnie, finalna wersja Administrator Protection może być faktycznie solidniejsza. Niemniej, zakładam, że Google z dziką przyjemnością przywalił konkurentowi pałą w głowę. Nie było to eleganckie, ale ostatecznie Google może powiedzieć: „należało się”.