Die neu in Windows 11 ab 25H2 eingeführte Funktion "Administrator Protection" hatte eine Elevation of Privilege-Schwachstelle CVE-2025-60718, die angeblich zum 11. November 2025 geschlossen wurde. Nun gibt es den Hinweis, dass dieser Patch unvollständig ist und die EoP-Schwachstelle weiterhin ausgenutzt werden kann.
Die EOP-Schwachstelle CVE-2025-60718
Sicherheitsforscher des Google Project Zero haben zum 8. August 2025 den Thread Windows: Administrator Protection RAiLaunchAdminProcess Application Name EoP mit der Beschreibung einer Schwachstelle in Windows Administrator Protection erstellt.
Die Kurzfassung des Posts: In der Windows-Administrator Protection-Schutzfunktion gibt es eine Sicherheitslücke. Diese ermöglicht es einem Prozess mit geringen Berechtigungen, vollständigen Zugriff auf einen UI-Zugriffsprozess zu erhalten. Das kann genutzt werden, um auf einen Schatten-Administratorprozess zuzugreifen. Letztendlich führt das zu einer Erhöhung der Berechtigungen. Details lassen sich im verlinkten Post nachlesen.
Microsoft patcht CVE-2025-60718 im November 2025
Zum 11. November 2025 hat Microsoft für CVE-2025-60718 einen Supportbeitrag veröffentlicht und die EoP-Schwachstelle mit einem CVSS 3.1 Score von 7.8 als important bezeichnet. Ein nicht vertrauenswürdiger Suchpfad in der Windows Administrator Protection ermöglicht es einem autorisierten Angreifer, seine Berechtigungen lokal zu erweitern.
Durch die erfolgreiche Ausnutzung dieser Schwachstelle könnte ein Angreifer erweiterte Berechtigungen erhalten, die denen eines Systemadministrators entsprechen. Das ermöglicht es, beliebigen Code mit hoher Integrität auszuführen und die Schutzmaßnahmen des Administrators zu umgehen.
Betroffen sind Clients mit Windows 11 25H2. Die Schwachstelle wurde zum 11. November 2025 mit den kumulativen Sicherheitsupdates KB5068861 und KB5068966 gepatcht.
Patch für CVE-2025-60718 unvollständig?
Zum 19. November 2025 hat jemand im Project Zero von Google diesen Nachtrag verfasst. Die Person glaubt, dass der Patch die Schwachstelle nicht schließt. Sie schreibt, dass anstatt den aufgelösten Pfad aus dem Aufruf von AiCheckSecureApplicationDirectory zu übernehmen, die Funktion AiLaunchProcess den Anwendungsnamenparameter erneut öffnet undGetFinalPathNameByHandle erneut aufruft. Der resultierende Pfad wird an CreateProcessAsUser übergeben, wenn Schattenadministratoren aktiviert sind.
Das Problem besteht darin, dass der Pfad zu diesem Zeitpunkt nicht überprüft wird und es daher möglich ist, die ausführbare Datei vorübergehend an einen vom Angreifer kontrollierten Speicherort, beispielsweise c:\temp\osk.exe, umzuleiten, der dann beim Erstellen des Prozesses verwendet wird. Dies wiederum zwingt den neuen Prozess dazu, c:\temp als Anwendungsverzeichnis zum Laden von DLLs zu verwenden.
Angreifer brauchen nach der Pfadauflösung vor der Erstellung des Prozesses wieder zur echten Datei zurück wechseln, um sicherzustellen, dass die AipValidateLaunchedProcess-Prüfung bestanden wird. Die Prüfung verwendet einen zuvor geöffneten Handle zur echten Datei.
Die die ursprüngliche Offenlegungsfrist abgelaufen ist, hat das Projekt das Problem mit den Details der unvollständigen Korrektur veröffentlicht. Gleichzeitig wurde Microsoft im November 2025 informiert, es gab aber keine Rückmeldung.
Ein begrenztes Problem
Auch wenn die Schwachstelle nicht vollständig behoben wurde, ist das Problem begrenzt. Es handelt sich nur um eine lokale Rechteausweitung, wobei der Code auf dem Rechner ausgeführt werden muss. Zudem ist Administrator Protection eine Opt-in-Funktion, die nur unter Windows 11 25H2 verfügbar ist. Der Entdecker schrieb im November 2025: "Außerdem scheint der Administrationsschutz als Funktion derzeit über ein Feature-Flag für alle von mir getesteten Windows 11-Rechner deaktiviert zu sein, sodass man die Funktion selbst dann nicht aktivieren kann, wenn man dies möchte."
Es scheint sich also um ein eher akademisches Problem zu handeln, welches aber ein Schlaglicht auf die Software-Entwicklungsprozesse von Windows 11 wirft. Da wird eine Funktion "Administrator Protection" als neuer heißer Sicherheitsmist beworben. Und in den Innereien werden grobe Programmierfehler implementiert. Ob AI-Code-Generierung da noch mit rein spielt, kann ich nicht beurteilen. Einen guten Eindruck hinterlässt das Ganze bei mir aber nicht – es ist ja keine Feld-Wald-und-Wiesen-Funktion, sondern eine als "essentiell beworbene Sicherheitsfunktion". (via)
MVP: 2013 – 2016
… in den Innereien werden grobe Programmierfehler und Backdoors implementiert. So wird ein Schuh draus.
Und du bist der perfekte Programmierer der keine Fehler macht?
Texterfassung mangelhaft, nochmal versuchen.
Deine Posts und Antworten mangelhaft. Nochmal versuchen.
sie haben doch ihre coole copilot KI, die alles besser coden kann, als jeder Programmierer auf der welt, innerhalb nanosekunden. Also wo ist das Problem dann bei Microsoft?
copilot fix einmal unserer code sh… , danke!
Sollte doch dann keine Lücke mehr geben oder?