Ancillary Function Driver (afd.sys)

Die Schwachstelle steckt im Ancillary Function Driver (afd.sys) von Microsoft, einem im Windows-Kernel laufenden Treiber, der grundlegende Netzwerkfunktionen für Anwendungen bereitstellt. Der Treiber prüft Eingaben, die aus dem normalen Benutzermodus an den privilegierten Kernelmodus übergeben werden, nicht ausreichend. Ein Angreifer, der sich bereits lokal am System anmelden kann, nutzt diese fehlende Prüfung mit einem eigens präparierten Programm aus. Dadurch lässt sich eine Rechteausweitung erzielen: Aus einem gewöhnlichen Benutzerkonto heraus erlangt der Angreifer Rechte auf Kernel- beziehungsweise Systemebene und damit die vollständige Kontrolle über den betroffenen Rechner. Da der Treiber tief im Betriebssystem verankert ist und die Lücke über eine selbst geschriebene Anwendung angesprochen wird, ist ein zuvor mit eingeschränkten Rechten ausgeführter Schadcode der typische Ausgangspunkt. Betroffen sind ältere Windows-Versionen, auf denen dieser Treiber zum Einsatz kommt.