Ваше следующее обновление ПО может передать ключи от машины в руки злоумышленников. Защита администратора Windows 11, представленная в релизе 25H2, обещала покончить с давней историей бесшумных обходов контроля учётных записей (UAC). Вместо этого она дебютировала с девятью уязвимостями, позволяющими обычным пользователям без каких-либо уведомлений получить полные права администратора.
Все эти уязвимости обнаружил один исследователь во время закрытых тестирований. Microsoft оперативно исправила их — некоторые до релиза (через KB5067036), другие — позже. Однако этот эпизод вскрывает суровую правду: даже «усиленные» редизайны создают новые поверхности для атак, особенно когда на них делают ставку для защиты рядовых пользователей от попыток вредоносного ПО захватить привилегии.
Что на самом деле делает «Защита администратора» Windows?
UAC, появившийся ещё в Vista, разделял учётные записи администратора на ограниченные и повышенные токены, но с общим профилем — что открывало простор для злоупотреблений. Начиная с Windows 7, злоумышленники использовали общие ветки реестра, подмену токенов и перехват автоповышаемых бинарных файлов. Инструменты вроде UACMe каталогизируют 81 технику, многие из которых всё ещё актуальны для последней Windows 11.
«Защита администратора» переходит к модели теневой учётной записи администратора, имитируя повышение прав «через плечо» (используется для неадминистративных пользователей). Больше никаких общих профилей. Никакой подмены токенов между учётными записями. Никакого автоповышения. Вводите учётные данные? Не совсем — система автоматически создаёт скрытого администратора, стремясь обеспечить плавную безопасность без лишних паролей.
«Основная проблема в дизайне UAC заключалась в том, что и ограниченный пользователь, и администратор были одной учётной записью, просто с разными наборами групп и привилегий. Это означало, что они совместно использовали ресурсы профиля, такие как каталог пользователя и ветка реестра».
Вот такое лаконичное резюме от исследователя. Умное решение, не так ли? Вот только реализация немного отстала.
Суровая реальность. Девять обходов. Каждый бесшумный, каждый повышает привилегии без запросов.
Как исследователю удалось взломать девять обходных путей?
Охота началась в инсайдерских сборках. Исследователь изучал настройку теневой учётной записи, которая автоматически создавалась службами UAC, привязывалась к основной учётной записи, но была изолирована. Ключевое изменение: повышение прав теперь требует этот теневой токен, что обеспечивало более строгие проверки.
Но трещины появились быстро. Один из путей использовал доверенные бинарные файлы, повторяя грехи автоповышения UAC. Другие манипулировали разрешениями служб или путями реестра, которые функция упустила. Детали здесь оставим на высоком уровне (полное техническое погружение — в оригинальной статье), но «как» сводилось к неполной изоляции: создание теневой учётной записи оставило зацепки для внедрения или подмены со стороны ограниченных процессов до полного блокирования.
Реакция Microsoft? Быстрые исправления. Однако вот уникальная мысль, отсутствующая в источнике: это зеркальное отражение каскада уязвимостей Wininit 2009 года. Тогда раннее автоповышение в Windows 7 позволяло изолированным приложениям пробиться до ядра через эксплойты сессии-0. Microsoft исправляла реактивно, но шаблон повторяется — спешное «безопасное» повышение привилегий всегда порождает семейства обходных путей. Прогноз: ожидайте, что UACMe пополнится записями 25H2 к середине 2026 года, поскольку команды аналитиков безопасности будут разбирать остатки.
А маркетинговый шум Microsoft? Они преподносят это как «обеспечивающее безопасность», давно понизив UAC до уровня простой удобности. Справедливо, но выпускать наполовину проработанную изоляцию, расхваливая её надёжность? Это не скептицизм, а халатность.
Краткосрочная боль для пользователей. С 1 декабря 2025 года Microsoft отключила функцию из-за проблем совместимости приложений — они настаивают, что это не связано. Включайте обратно на свой страх и риск, пока не появятся универсальные патчи.
Почему обходы UAC всё ещё преследуют Windows 11?
Вредоносное ПО обожает их. Бесшумное повышение привилегий превращает браузерные эксплойты в захват системы: программы-вымогатели шифруют ваши диски, кейлоггеры крадут корпоративные учётные данные. «Защита администратора» была нацелена именно на это — чтобы UAC стал «жёсткой границей», которую стоит защищать.
Повышение прав «через плечо» стало образцом: отдельные учётные записи блокируют подмену профилей, исключают подмену и уничтожают автоповышение. Но как масштабировать это без паролей? Теневые учётные записи ставили высокую планку, но спотыкались на крайних случаях, таких как загрузка служб и разрешение путей.
Более глубокий сдвиг в архитектуре: Windows цепляется за обратную совместимость. Бинарные файлы эпохи Vista всё ещё автоматически повышают привилегии по умолчанию, которые мало кто меняет. Результат? 81 трюк из UACMe, часть которых ежедневно используется как оружие. «Защита администратора» могла бы перевернуть игру — вместо этого она просто повторила старый сценарий.
Внимание, корпоративный хайп. Microsoft представляет исправления как рутинные, но отключение функции до запуска кричит о спешке в тестировании. Сравните с SIP в macOS или sudo в Linux: они устанавливают границы без акробатики с теневыми учётными записями. Windows? Всё ещё бежит по кругу.
Пользователи ощущают это сильнее всего. Домашние ПК по умолчанию используют учётные записи администратора — 80% заражений по данным телеметрии. Корпорации? Групповые политики смягчают ситуацию, но конечные точки отстают. Эта сага с обходами означает одно: обновляйтесь быстро, иначе следующий клик по фишинговому письму обойдётся вам дорого.
Стоит ли «Защита администратора» ажиотажа?
Нет. Пока что.
Она точно определяет «почему» — проблемы с общими токенами порождали обходы — но «как» выявило небрежные моменты. Девять уязвимостей сигнализируют о неполном моделировании потоков повышения привилегий. Историческая параллель: UAC в Vista дебютировал как нерушимый в лабораториях, но был взломан за считанные недели. То же самое и здесь.
Смелое предположение: Microsoft будет итерировать до гибридного решения — теневые учётные записи плюс биометрическая аутентификация (интеграция Windows Hello?). До тех пор придерживайтесь UAC с опцией «всегда запрашивать», используйте отдельные стандартные учётные записи. Инструменты вроде UACMe доказывают, что настройки по умолчанию — это решето.
Разработчикам: аудируйте свои бинарные файлы. Отключайте автоповышение, если оно не используется. Системным администраторам: внедряйте LAPS для управления теневыми учётными данными.
Плюсы? Все сообщённые проблемы исправлены. Исследователь отмечает оперативность Microsoft. Но доверие восстанавливается медленно — особенно когда ваш «более надёжный» щит оказывается дырявым.
Влияние на реальных людей. Ту пиратская программа? Теперь бэкдор. Семейный ПК, заражённый вымогателем? Опустошение сбережений. Рабочий ноутбук? Боковое перемещение к доменному администратору. Уязвимости в повышении привилегий — это не абстракция; они несут реальные издержки.
🧬 Связанные материалы
- Читать далее: 36 фейковых плагинов npm для Strapi внедрили бэкдоры Redis и Postgres в конвейеры разработки
- Читать далее: Безопасность политиков взлетела в 5 раз на фоне угроз, которые приходят домой — буквально
Часто задаваемые вопросы
Что такое «Защита администратора» Windows? Новая функция 25H2, заменяющая UAC теневыми учётными записями администратора для изолированного повышения прав, блокирующая бесшумные обходы за счёт отдельных профилей и отсутствия автоповышения.
Существуют ли ещё обходы UAC в Windows 11? Да — 81 известный через UACMe, многие активны. «Защита администратора» должна была исправить, но вышла с девятью обходными путями (теперь исправлены).
Следует ли мне сейчас включать «Защиту администратора»? Подождите — она отключена с декабря 2025 года из-за проблем совместимости. Полностью установите все патчи, затем протестируйте; настройки по умолчанию остаются рискованными.
