Protezione amministratore di Windows 11 non così sicura: lo dice Google Project Zero

Windows 11 ha introdotto — tramite l’aggiornamento opzionale KB5067036 — una nuova modalità di gestione dei privilegi denominata Protezione amministratore (Administrator Protection, in inglese). La funzione rappresenta l’evoluzione di User Account Control (UAC) e punta a limitare l’impiego dei privilegi amministrativi solo quando realmente necessario e sotto condizioni di sicurezza più rigide.

Protezione amministratore nasce con un obiettivo molto preciso: rendere l’elevazione dei privilegi un confine difendibile, superando il limite storico di UAC che Microsoft stessa, nel tempo, ha di fatto declassato da barriera efficace a semplice funzionalità di sicurezza (con bypass non sempre trattati come vulnerabilità).

Come funziona UAC e cosa cambia con la Protezione amministratore

Il punto tecnico decisivo è che UAC “classico” lavora su due token dello stesso account: uno limitato e uno elevato, con condivisione di profilo e risorse (directory utente, rami del registro di sistema). Un modello di questo tipo ha favorito nel tempo tecniche di abuso, soprattutto dopo l’introduzione dell’auto-elevation (Windows 7), che ha ridotto i prompt ma ha aumentato le opportunità di acquisizione di privilegi elevati in modo silenzioso.

La Protezione amministratore si avvicina a un modello più intransigente ma che non richiede all’utente di conoscere password di un altro admin: usa un account amministrativo “ombra” (shadow administrator). L’acquisizione di privilegi più elevati può richiedere l’autenticazione dell’utente (anche con biometria/Windows Hello).

Tuttavia, James Forshaw – ricercatore di Google Project Zero – pubblica un’analisi tecnica dettagliata che avanza una palese contestazione: se una nuova caratteristica di sicurezza come Protezione amministratore è costruita sopra meccanismi storici (UAC) non progettati per valutare puntualmente i confini di sicurezza, allora combinazioni non ovvie di comportamenti legittimi possono produrre bypass reali.

Protezione amministratore non sostituisce UAC: ne cambia una modalità

Forshaw spiega che Protezione amministratore non è un meccanismo di elevazione dei privilegi separato da UAC. Non introduce un nuovo sottosistema, né un modello completamente riscritto. Dal punto di vista tecnico, si tratta di una nuova modalità operativa di UAC.

Restano invariati il servizio di sistema, le API di elevazione, il concetto di prompt come confine di sicurezza, gran parte del codice e dei flussi decisionali.

Ciò che cambia è chi ottiene i privilegi elevati: non più lo stesso account dell’utente con un token “collegato”, ma un account amministrativo ombra creato e gestito dal sistema. Si tratta di un dettaglio che migliora sensibilmente l’isolamento, ma non cancella vent’anni di scelte architetturali.

Come la nuova logica rende possibile un bypass

Con la nuova Protezione amministratore, ogni richiesta di elevazione comporta l’attivazione di una nuova logon session per lo shadow administrator. Per quella sessione specifica, al momento dell’elevazione, le directory dedicate ancora non esistono.

Forshaw ha dimostrato che è possibile sfruttare questa finestra temporale per forzare la creazione di tali directory in un contesto non previsto, assegnando loro permessi controllati dall’utente sprovvisto di privilegi.

Una volta che queste directory sono sotto il controllo dell’attaccante, diventa possibile manipolare la risoluzione delle lettere di unità per il processo elevato, con potenziali impatti rilevanti sulla sicurezza dell’intero sistema.

Note finali

Microsoft ha deciso di disattivare temporaneamente Protezione amministratore a partire dal 1° dicembre 2025, a causa di problemi di compatibilità applicativa ancora in fase di risoluzione, una scelta che non è direttamente collegata alle vulnerabilità analizzate da Google Project Zero ma che ne rimanda l’adozione su larga scala.

L’analisi di Forshaw non ridimensiona il valore della Protezione amministratore, ma evidenzia quanto sia complesso creare un confine di sicurezza solido in un sistema complesso come Windows, soprattutto quando nuova logica deve convivere con architetture storiche.

La Protezione amministratore rappresenta comunque un passo avanti significativo rispetto al modello tradizionale di UAC, riducendo molte delle superfici di attacco più sfruttate in passato.

Tuttavia, resta sul tavolo un dettaglio importante: le vulnerabilità più insidiose non emergono quasi mai da errori evidenti, ma dal modo in cui componenti legittimi interagiscono tra loro. È proprio su questo terreno che ricerche come quella di Project Zero continuano a essere indispensabili.