Команда безопасности Google Project Zero раскрыла уязвимость в Windows 11 после того, как её не смогла исправить Microsoft. Она связана с повышением привилегий (EoP) в предварительных версиях ОС для участников программы Insider.
В техническом отчёте исследователь безопасности Джеймс Форшоу поделился, что проблема присутствовала в функции защиты администратора, которую пока дорабатывают в Windows 11. Она позволяет повышать привилегии только тогда, когда это необходимо, с помощью Windows Hello и изолированного административного токена.
Форшоу обнаружил уязвимость в функции, которая позволяет процессу с низкими привилегиями перехватывать процесс доступа к пользовательскому интерфейсу, чтобы получить права администратора. Исследователь сообщил об этой уязвимости Microsoft в частном порядке 8 августа. Техгигант смог выпустить патч 12 ноября, поблагодарив Форшоу. Уязвимости присвоили идентификатор CVE-2025-60718.
Однако исследователь заявил, что патч неполный и не устраняет баг. Из-за отсутствия реакции со стороны Microsoft он сделал эту информацию достоянием общественности.
Тем не менее, баг нельзя считать серьёзным. Он может применяться в атаках с повышением локальных привилегий, а это значит, что злоумышленнику необходим физический доступ к компьютеру. Кроме того, защита администратора доступна только в некоторых сборках Windows 11 Insider, а её нужно включать вручную.
Project Zero — это команда безопасности Google, которая ищет уязвимости в продуктах компании, а также в сторонних. Об обнаружении багов сообщают поставщикам в частном порядке, после чего им даётся 90 дней на решение проблем. Если этот срок превышен, информация об уязвимости становится достоянием общественности. В прошлом Google Project Zero сообщала об ошибках в CentOS, libxslt, ChromeOS и Windows.
Между тем сама Microsoft в декабре объявила, что будет выплачивать вознаграждения исследователям безопасности за обнаружение критических уязвимостей в любых своих онлайн-сервисах, независимо от того, был ли код написан самой компанией или третьей стороной.
