![\"Windows\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" "\\"Windows\\"")
Die neu in Windows 11 ab 25H2 eingef\u00fchrte Funktion \"Administrator Protection\" hatte eine Elevation of Privilege-Schwachstelle CVE-2025-60718, die angeblich zum 11. November 2025 geschlossen wurde. Nun gibt es den Hinweis, dass dieser Patch unvollst\u00e4ndig ist und die EoP-Schwachstelle weiterhin ausgenutzt werden kann.<\/p>\n
<\/p>\n
Die Kurzfassung des Posts: In der Windows-Administrator Protection-Schutzfunktion gibt es eine Sicherheitsl\u00fccke. Diese erm\u00f6glicht es einem Prozess mit geringen Berechtigungen, vollst\u00e4ndigen Zugriff auf einen UI-Zugriffsprozess zu erhalten. Das kann genutzt werden, um auf einen Schatten-Administratorprozess zuzugreifen. Letztendlich f\u00fchrt das zu einer Erh\u00f6hung der Berechtigungen. Details lassen sich im verlinkten Post nachlesen.<\/p>\n Zum 11. November 2025 hat Microsoft f\u00fcr\u00a0CVE-2025-60718<\/a> einen Supportbeitrag ver\u00f6ffentlicht und die EoP-Schwachstelle mit einem CVSS 3.1 Score von 7.8 als important bezeichnet. Ein nicht vertrauensw\u00fcrdiger Suchpfad in der Windows Administrator Protection erm\u00f6glicht es einem autorisierten Angreifer, seine Berechtigungen lokal zu erweitern.<\/p>\n Durch die erfolgreiche Ausnutzung dieser Schwachstelle k\u00f6nnte ein Angreifer erweiterte Berechtigungen erhalten, die denen eines Systemadministrators entsprechen. Das erm\u00f6glicht es, beliebigen Code mit hoher Integrit\u00e4t auszuf\u00fchren und die Schutzma\u00dfnahmen des Administrators zu umgehen.<\/p>\n Betroffen sind Clients mit Windows 11 25H2. Die Schwachstelle wurde zum 11. November 2025 mit den kumulativen Sicherheitsupdates KB5068861<\/a> und KB5068966<\/i><\/a> gepatcht.<\/p>\n Zum 19. November 2025 hat jemand im Project Zero von Google diesen Nachtrag<\/a> verfasst. Die Person glaubt, dass der Patch die Schwachstelle nicht schlie\u00dft. Sie schreibt, dass anstatt den aufgel\u00f6sten Pfad aus dem Aufruf von AiCheckSecureApplicationDirectory<\/em> zu \u00fcbernehmen, die Funktion AiLaunchProcess<\/em> den Anwendungsnamenparameter erneut \u00f6ffnet undGetFinalPathNameByHandle<\/em> erneut aufruft. Der resultierende Pfad wird an CreateProcessAsUser<\/em> \u00fcbergeben, wenn Schattenadministratoren aktiviert sind.<\/p>\n Das Problem besteht darin, dass der Pfad zu diesem Zeitpunkt nicht \u00fcberpr\u00fcft wird und es daher m\u00f6glich ist, die ausf\u00fchrbare Datei vor\u00fcbergehend an einen vom Angreifer kontrollierten Speicherort, beispielsweise c:\\temp\\osk.exe<\/em>, umzuleiten, der dann beim Erstellen des Prozesses verwendet wird. Dies wiederum zwingt den neuen Prozess dazu, c:\\temp<\/em> als Anwendungsverzeichnis zum Laden von DLLs zu verwenden.<\/p>\n Angreifer brauchen nach der Pfadaufl\u00f6sung vor der Erstellung des Prozesses wieder zur echten Datei zur\u00fcck wechseln, um sicherzustellen, dass die AipValidateLaunchedProcess-<\/em>Pr\u00fcfung bestanden wird. Die Pr\u00fcfung verwendet einen zuvor ge\u00f6ffneten Handle zur echten Datei.<\/p>\n Die die urspr\u00fcngliche Offenlegungsfrist abgelaufen ist, hat das Projekt das Problem mit den Details der unvollst\u00e4ndigen Korrektur ver\u00f6ffentlicht<\/a>. Gleichzeitig wurde Microsoft im November 2025 informiert, es gab aber keine R\u00fcckmeldung.<\/p>\n Auch wenn die Schwachstelle nicht vollst\u00e4ndig behoben wurde, ist das Problem begrenzt. Es handelt sich nur um eine lokale Rechteausweitung, wobei der Code auf dem Rechner ausgef\u00fchrt werden muss. Zudem ist Administrator Protection\u00a0eine Opt-in-Funktion, die nur unter Windows 11 25H2 verf\u00fcgbar ist. Der Entdecker schrieb im November 2025: \"Au\u00dferdem scheint der Administrationsschutz als Funktion derzeit \u00fcber ein Feature-Flag f\u00fcr alle von mir getesteten Windows 11-Rechner deaktiviert zu sein, sodass man die Funktion selbst dann nicht aktivieren kann, wenn man dies m\u00f6chte.\"<\/p>\n Es scheint sich also um ein eher akademisches Problem zu handeln, welches aber ein Schlaglicht auf die Software-Entwicklungsprozesse von Windows 11 wirft. Da wird eine Funktion \"Administrator Protection\" als neuer hei\u00dfer Sicherheitsmist beworben. Und in den Innereien werden grobe Programmierfehler implementiert. Ob AI-Code-Generierung da noch mit rein spielt, kann ich nicht beurteilen. Einen guten Eindruck hinterl\u00e4sst das Ganze bei mir aber nicht – es ist ja keine Feld-Wald-und-Wiesen-Funktion, sondern eine als \"essentiell beworbene Sicherheitsfunktion\". (via<\/a>)<\/p>\n","protected":false},"excerpt":{"rendered":" Die neu in Windows 11 ab 25H2 eingef\u00fchrte Funktion \"Administrator Protection\" hatte eine Elevation of Privilege-Schwachstelle CVE-2025-60718, die angeblich zum 11. November 2025 geschlossen wurde. Nun gibt es den Hinweis, dass dieser Patch unvollst\u00e4ndig ist und die EoP-Schwachstelle weiterhin ausgenutzt … Weiterlesen Sicherheitsforscher des Google Project Zero haben zum 8. August 2025 den Thread\u00a0Windows: Administrator Protection RAiLaunchAdminProcess Application Name EoP<\/a> mit der Beschreibung einer Schwachstelle in Windows Administrator Protection erstellt.<\/p>\n
Microsoft patcht\u00a0CVE-2025-60718 im November 2025<\/h2>\n
Patch f\u00fcr\u00a0 CVE-2025-60718\u00a0unvollst\u00e4ndig?<\/h2>\n
Ein begrenztes Problem<\/h2>\n