A tentativa da Microsoft de finalmente resolver um dos problemas mais antigos do Windows, a fragilidade do controle de privilégios administrativos, esbarrou em um velho conhecido: comportamentos históricos do próprio sistema operacional. Um conjunto de vulnerabilidades recentemente corrigidas mostrou que antigas peculiaridades do Windows ainda conseguem atravessar mecanismos modernos de segurança, mesmo quando estes são projetados para substituir soluções falhas do passado.
A promessa de um UAC mais seguro
O Administrator Protection é um dos principais recursos introduzidos no Windows 11 25H2. Seu objetivo é substituir o modelo tradicional do User Account Control (UAC), que desde o Windows Vista nunca foi considerado uma fronteira de segurança real. Ao longo dos anos, dezenas de bypasses silenciosos permitiram que malwares obtivessem privilégios administrativos sem alertar o usuário.
A nova abordagem tenta corrigir isso adotando um princípio mais rigoroso de menor privilégio. Em vez de compartilhar o mesmo usuário com tokens diferentes, o sistema cria um shadow administrator account, usado apenas quando a elevação é necessária e descartado automaticamente ao fim do processo.
Antes mesmo de o recurso chegar às versões estáveis do Windows, James Forshaw, pesquisador do Google Project Zero, identificou nove vulnerabilidades capazes de contornar silenciosamente o Administrator Protection. As falhas foram reportadas em dezembro e corrigidas pela Microsoft antes da disponibilização geral do recurso, hoje restrito a builds Insider Canary.
O detalhe mais curioso é que várias dessas vulnerabilidades não eram novas. Elas já existiam há anos no UAC, mas nunca foram consideradas críticas porque o UAC não era tratado como uma barreira de segurança real. Com o Administrator Protection, o mesmo comportamento passou a ter o impacto considerado direto na segurança do sistema.
Quando o passado encontra o presente
A falha mais interessante explorava um conjunto de cinco comportamentos distintos do Windows, todos legítimos individualmente, mas perigosos quando combinados. O ponto central envolve a forma como o kernel cria, sob demanda, os chamados DOS device object directories, estruturas responsáveis por mapear letras de unidade como o famoso C:.
Esses diretórios são criados apenas quando acessados pela primeira vez e, por design, o kernel desativa verificações de acesso durante a criação, para garantir uma melhor compatibilidade. Em cenários antigos de UAC, isso não era explorável de forma prática. No novo modelo, porém, cada elevação administrativa cria uma nova sessão de logon, com seu próprio diretório ainda inexistente.
Forshaw demonstrou que, ao obter um token de identificação do shadow admin e forçar a criação do diretório antes que qualquer processo elevado o utilize, um atacante pode assumir o controle desse diretório. Com isso, torna-se possível redirecionar o drive C: de processos administrativos, abrindo caminho para a execução de código arbitrário com privilégios elevados.
O mais irônico é que uma mitigação de segurança recente, criada para impedir sequestro do drive C: em outros contextos, acabou ajudando o ataque. Ao impedir que certos acessos ocorram cedo demais, o sistema deixava uma janela de tempo perfeita para a exploração.
Segundo Forshaw, esse comportamento era conhecido por ele há muitos anos, mas nunca foi reportado porque não havia um cenário prático de exploração. Apenas com a introdução do Administrator Protection e sua nova lógica de sessões e tokens, o problema se tornou viável.
Isso expõe um dilema clássico em sistemas operacionais maduros: novas camadas de segurança frequentemente herdam suposições antigas, e aquilo que era “seguro o suficiente” deixa de ser quando o contexto muda.
Um passo à frente, ainda que tímido
A Microsoft corrigiu o problema impedindo a criação de diretórios de dispositivos DOS quando um token de shadow admin está sendo impersonado em nível de identificação. A correção foi incluída na atualização opcional KB5067036, sem boletim de segurança dedicado.
Apesar disso, Forshaw elogiou a resposta da empresa e destacou que o time tratou o Administrator Protection como uma fronteira de segurança real, algo raro na história do UAC.
No balanço final, o Administrator Protection representa uma melhoria real em relação ao modelo antigo, mesmo carregando quase 20 anos de herança problemática. Ele não elimina completamente o risco, afinal, usuários ainda podem ser enganados a aceitar prompts, mas reduz drasticamente os bypasses silenciosos, que sempre foram o maior problema.
Fique por dentro das principais novidades da semana sobre tecnologia e Linux: receba nossa newsletter!