【安全资讯】Windows管理员保护功能曝出权限提升漏洞，谷歌研究员发现九处缺陷

概要：

在微软本月正式推出Windows管理员保护（Administrator Protection）功能之前，其预览版本已被发现存在多个安全漏洞。谷歌Project Zero安全研究员詹姆斯·福肖报告了九个漏洞，攻击者利用这些漏洞可在启用该新功能的系统上悄无声息地获取管理员权限。这些漏洞大多与已知的用户账户控制（UAC）问题相关，但若被利用，将完全颠覆该保护功能的初衷。

主要内容：

福肖报告的最值得注意的漏洞是一个涉及登录会话（Logon Sessions）的缺陷，该缺陷利用了五种不同的Windows行为。问题的核心在于Windows如何处理特定用户会话的DOS设备对象目录。由于内核是按需创建该目录，而非在登录时创建，因此在创建过程中无法检查用户是否为管理员。

与UAC不同，管理员保护功能使用一个隐藏的影子管理员账户，其令牌句柄可通过调用NtQueryInformationToken API函数由系统返回。攻击者可以修改该令牌的所有者安全标识符，使其与自己的用户ID匹配。通过模拟此令牌，攻击者可强制内核创建一个新目录并将其所有权分配给自己，从而获得控制权。

福肖表示，他多年前就在UAC中发现了此行为，但当时未报告，因为他未能找到在管理员进程创建前，受限用户就能运行代码的场景。管理员保护功能的引入改变了局面，因为它每次在用户请求提升至管理员权限时，都会创建一个新的唯一登录会话。此外，由于微软为防止C盘劫持而实施的另一项安全缓解措施，系统服务在启动进程时会忽略被模拟令牌的DOS设备对象目录。

微软已通过阻止在标识级别模拟影子管理员令牌时创建DOS设备对象目录的方式修复了此漏洞。福肖指出，此漏洞的有趣之处不仅在于它能绕过保护，更在于它是一个他已知多年的潜在UAC绕过漏洞，仅因新功能的引入才变得实际可利用。