Windows

Die Schwachstelle betrifft den Schutzmechanismus „Mark of the Web“ (MOTW) von Microsoft Windows. MOTW ist eine Kennzeichnung, mit der Windows aus dem Internet oder anderen nicht vertrauenswürdigen Quellen stammende Dateien markiert. Anhand dieser Markierung entscheiden Sicherheitsfunktionen, ob eine Datei mit besonderer Vorsicht behandelt werden muss. Über diese Lücke kann ein Angreifer die MOTW-Kennzeichnung umgehen, sodass eine eingeschleuste Datei nicht mehr als potenziell gefährlich erkannt wird. In der Folge greifen die darauf aufbauenden Schutzmaßnahmen nicht wie vorgesehen – etwa die geschützte Ansicht in Microsoft Office, die Dokumente aus unsicheren Quellen zunächst in einer abgeschotteten Umgebung öffnet. Typischerweise wird die Lücke ausgenutzt, indem dem Opfer eine präparierte Datei untergeschoben wird, die beim Öffnen ihre Schutzkennzeichnung verliert. Dadurch lässt sich der Schutz teilweise aushebeln, was die Integrität und Verfügbarkeit dieser Sicherheitsfunktionen beeinträchtigt.