WinVerifyTrust function

Die Schwachstelle steckt in der Funktion WinVerifyTrust von Microsoft Windows, die die Authenticode-Signatur von ausführbaren Dateien im PE-Format (Portable Executable) überprüft. Der Fehler liegt darin, wie diese Prüfung erfolgt: Teile der Datei fließen nicht in die Signaturprüfung ein. Ein Angreifer kann eine bereits signierte, gültige Programmdatei nachträglich verändern und in diesen ungeprüften Bereichen Schadcode unterbringen, ohne dass die Signatur dadurch ungültig wird. Die manipulierte Datei erscheint dem System weiterhin als vertrauenswürdig signiert. Führt ein Nutzer oder eine Anwendung eine solche präparierte Datei aus oder installiert sie, gelangt der Schadcode zur Ausführung. Gelingt der Angriff, kann der Angreifer das betroffene System vollständig übernehmen: Programme installieren, Daten einsehen, ändern oder löschen sowie neue Konten anlegen. Das Ausmaß hängt von den Rechten des angemeldeten Nutzers ab – bei administrativen Rechten ist die Übernahme vollständig.