1 month ago
4
Microsoft schraubt ja gerne an den Mechanismen, die uns vor Bösewichten schützen sollen, und mit dem Windows 11 Update 25H2 gab es ja etwas Größeres: Die „Administrator Protection„. Das klingt erst mal super wichtig und soll das etwas in die Jahre gekommene UAC (User Account Control) ablösen.
Ziel der ganzen Geschichte war es, die Rechteverwaltung robuster zu machen. Anstatt dass ein lokaler Admin quasi permanent mit einem Fuß in der Tür steht, soll der Zugriff auf Administratorrechte nur dann erfolgen, wenn er wirklich gebraucht wird – und zwar sicherer als bisher.
Das Problem beim alten UAC war nämlich immer, dass der normale Benutzer und der Administrator im Prinzip dasselbe Konto mit geteilten Ressourcen waren. Ein Fest für Malware, die sich da gerne mal vorbeischleicht.
Seinerzeit hatte sich James Forshaw, ein Google-Sicherheitsforscher, das Ganze in den Insider Preview Builds mal genauer angesehen. Und was kam raus? Wo gehobelt wird, fallen Späne. Oder in diesem Fall: Wo Microsoft neue Sicherheitsfeatures baut, finden Forscher erst einmal Wege, diese zu umgehen.
Die Idee ist eigentlich clever: Statt wie bisher beim UAC alles über ein Konto laufen zu lassen, nutzt die Administrator Protection einen versteckten „Schatten-Administrator“. Das ist technisch gesehen ein separates Konto, das automatisch vom System verwaltet wird. Der Vorteil: Euer normales Profil und das Admin-Profil teilen sich keine Daten mehr. Keine gemeinsamen Registry-Hives, keine geteilten Ordner. Das macht es Malware deutlich schwerer, sich vom eingeschränkten Nutzer zum Admin hochzuangeln.
Forshaw hat eine ziemlich abgefahrene Schwachstelle gefunden, die tief in den Eingeweiden von Windows steckt. Ich lasse die sehr technischen Details mal raus, die könnt ihr euch hier durchlesen. Kurzform: Man konnte dem Schatten-Admin ein falsches Laufwerk `C:` unterschieben. Wenn der dann versucht, eine DLL zu laden, lädt er stattdessen die manipulierte Datei des Angreifers – und zack, hat man volle Admin-Rechte, ohne dass der Nutzer auch nur mit der Wimper zuckt oder ein Popup sieht.
Die gute Nachricht ist: Das ist bereits gefixt. Microsoft hat das Loch mit dem Update KB5067036 gestopft, noch bevor das Feature final live gegangen ist. Forshaw merkt an, dass Microsoft hier zwar Löcher stopft, aber vielleicht nicht mutig genug war. Anstatt das UAC-Konzept grundlegend neu zu denken, wird wieder an einem alten System herumgedoktert, um die Kompatibilität zu wahren.
Angebot
Angebot
Angebot
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
