Windows

Die Schwachstelle betrifft die Schutzfunktion „Mark of the Web“ (MOTW) in Microsoft Windows. MOTW markiert Dateien, die aus dem Internet oder aus anderen nicht vertrauenswürdigen Quellen stammen, mit einer Kennzeichnung. Anhand dieser Markierung warnt Windows den Nutzer beim Öffnen solcher Dateien und führt zusätzliche Sicherheitsprüfungen durch, etwa in Office-Anwendungen oder im SmartScreen-Filter. Über die Schwachstelle lässt sich dieser Schutzmechanismus umgehen: Ein Angreifer kann eine aus dem Internet bezogene Datei so präparieren, dass sie die MOTW-Kennzeichnung nicht erhält oder diese wirkungslos bleibt. Dadurch greifen die daran gekoppelten Sicherheitswarnungen und -prüfungen nicht mehr, und eine schädliche Datei wirkt für das System wie eine vertrauenswürdige lokale Datei. Typischerweise wird die Lücke ausgenutzt, indem ein Opfer dazu gebracht wird, eine manipulierte Datei zu öffnen. Die Beeinträchtigung der betroffenen Sicherheitsfunktionen ist dabei begrenzt.