Компанія Google оприлюднила інформацію про вразливість у складі операційної системи Windows 11 після того, як Microsoft не вдалося виправити її з першого разу. Google має внутрішню команду з кібербезпеки Project Zero, завдання якої полягає в пошуку різних уразливостей як у продуктах самої Google, так і в рішеннях інших розробників. Про виявлені вразливості фахівці приватно повідомляють розробнику, після чого останньому дається 90 днів на їх усунення.
Якщо цей термін перевищено, інформація про вразливість стає загальнодоступною, що чинить додатковий тиск на постачальника та дає користувачам можливість самостійно вжити заходів для захисту. У деяких складних випадках надається відстрочка на виправлення вразливостей. У минулому Google Project Zero повідомляла про помилки в CentOS, libxslt, ChromeOS та Windows. Наразі команда виявила вразливість у версіях Windows 11 для учасників програми Insider.
У докладному технічному звіті на трекері проблем Project Zero зазначено, що дослідник безпеки Джеймс Форшоу (James Forshaw) виявив вразливість підвищення привілеїв (EoP) у попередніх версіях Windows 11 для учасників програми Insider. Ця проблема була присутня у функції захисту адміністратора (Administrator Protection), яка є новою можливістю Windows 11 і дозволяє підвищувати привілеї лише тоді, коли це необхідно, з використанням Windows Hello та ізольованого адміністративного токена.
У ході свого розслідування Форшоу виявив уразливість у функції захисту адміністратора (Administrator Protection), що дозволяє процесу з низькими привілеями перехоплювати процес доступу до інтерфейсу користувача, що може бути використане для отримання адміністративних привілеїв. Дослідник повідомив про цю вразливість у Microsoft в приватному порядку 8 серпня, що означало, що компанія мала час до 6 листопада, щоб виправити її. Після продовження цього терміну Microsoft випустила 12 листопада патч безпеки і подякувала Форшоу за його внесок у виявлення вразливості CVE-2025-60718.
Хоча питання вважалося закритим, Форшоу нещодавно знову підняв його, заявивши, що випущений патч виявився неефективним і не усунув уразливість повністю. У результаті після відсутності реакції з боку Microsoft інформація про вразливість стала надбанням громадськості.
Про вказану вразливість вже відомо все необхідне, тому серйозних побоювань вона не викликає. Вразливість передбачає можливість локальної атаки з підвищенням привілеїв, а це означає, що зловмиснику необхідний фізичний доступ до комп’ютера для виконання довільного коду та експлуатації проблеми. Крім того, функція захисту адміністратора доступна лише в деяких збірках Windows 11 Insider і в будь-якому випадку має бути увімкнена вручну. Таким чином, коло потенційно постраждалих користувачів на цей час досить обмежене. З усім тим, важливо, щоб Microsoft провела подальше розслідування результатів роботи Форшоу і випустила повноцінне виправлення до того, як функція стане загальнодоступною у складі Windows 11.