Win32k

Die Schwachstelle steckt im Kernel-Modus-Treiber Win32k.sys von Microsoft Win32k, einer zentralen Systemkomponente von Windows Server. Da der Treiber im Kernel läuft, besitzt fehlerhafter Code dort die höchsten Systemrechte. Ein Angreifer, der sich bereits lokal am System angemeldet hat oder dort Code ausführen kann, ist in der Lage, über eine eigens präparierte Anwendung einen Fehler im Treiber auszulösen. Dadurch verschafft er sich erhöhte Rechte und kann beliebigen Code mit Systemprivilegien ausführen – er weitet also eingeschränkte Benutzerrechte zu vollständiger Kontrolle über das betroffene System aus. Diese Art von Rechteausweitung dient typischerweise als zweiter Schritt nach einem ersten Einbruch: Sie verwandelt einen einfachen Zugang in volle Administratorrechte. Die Schwachstelle wurde nachweislich aktiv für Angriffe ausgenutzt.