Windows

Die Schwachstelle steckt im Windows-Kernel von Microsoft, genauer im Treiber appid.sys, der zur Anwendungssteuerung des Betriebssystems gehört. Dort verarbeitet ein sogenannter IOCTL-Dispatcher Steuerbefehle, die Programme an den Treiber richten (IOCTL steht für Input/Output Control, also Ein- und Ausgabesteuerung). Eine dieser Steuerschnittstellen ist nach außen offengelegt, prüft aber die Zugriffsrechte des Aufrufers nicht ausreichend. Dadurch kann ein Angreifer, der bereits lokal auf dem System angemeldet ist, diese Schnittstelle missbrauchen, um sich höhere Rechte zu verschaffen. Aus einem gewöhnlichen Benutzerkonto heraus erlangt er auf diesem Weg weitreichende Systemrechte und damit die Kontrolle über das betroffene Gerät. Die Lücke setzt einen bereits vorhandenen Zugang voraus und dient typischerweise dazu, eine anfängliche Kompromittierung auszuweiten und sich tief im System festzusetzen.