Windows

Die Schwachstelle betrifft den Treiber des Common Log File System (CLFS) in Microsoft Windows – jene Systemkomponente, die ein protokollbasiertes Speichern von Transaktions- und Ereignisdaten für das Betriebssystem und für Anwendungen bereitstellt. Der Fehler ist ein Heap-basierter Pufferüberlauf: Der Treiber schreibt mehr Daten in einen reservierten Speicherbereich des Heaps, als dieser fassen kann, sodass angrenzende Speicherinhalte überschrieben werden. Ein Angreifer, der bereits lokalen Zugang zum System mit eingeschränkten Rechten besitzt, kann diesen Überlauf gezielt herbeiführen, um seine Berechtigungen auszuweiten. Im Erfolgsfall erlangt er erhöhte – bis hin zu System-Rechten reichende – Privilegien und damit weitreichende Kontrolle über den betroffenen Rechner. Da CLFS ein fester Bestandteil von Windows ist und der Treiber im Kernel läuft, ist die Komponente auf einer Vielzahl von Systemen vorhanden. Der Angriff setzt einen bereits vorhandenen lokalen Zugriff voraus und dient typischerweise dazu, eine erste Kompromittierung zu vertiefen.