Windows

Die Schwachstelle steckt im Treiber des Common Log File System (CLFS) von Microsoft Windows – einem Systemdienst, der für viele Anwendungen und Dienste ein einheitliches, transaktionsbasiertes Protokollieren von Ereignissen bereitstellt. Der Fehler ist eine sogenannte Use-after-Free: Der Treiber greift auf einen Speicherbereich zu, der zuvor bereits freigegeben wurde. Dieser Zustand lässt sich manipulieren, um eigenen Code im Kontext des Systemkerns auszuführen. Ausnutzen kann den Defekt ein Angreifer, der sich bereits am System angemeldet hat und über gültige, wenn auch eingeschränkte Rechte verfügt. Über die Lücke hebt er seine Berechtigungen lokal an und verschafft sich höhere Systemrechte, bis hin zur vollständigen Kontrolle über den Rechner. Da der CLFS-Treiber in praktisch allen Windows-Installationen vorhanden und tief im Betriebssystem verankert ist, eignet sich die Lücke besonders als zweiter Schritt nach einer ersten Kompromittierung, um aus einem normalen Benutzerkonto heraus die Hoheit über das gesamte System zu erlangen.