Windows-Kernel-Schwachstelle ermöglicht Angreifern Manipulation von Kernel-Speicherzählern

Den Fund verdankt die Sicherheitsbranche dem Forscher Ori Nimron. Die Lücke betrifft Versionen 11, die zwischen den Builds 24H2 und 25H2 liegen, und befindet sich in der Kernkomponente ntoskrnl.exe. Genauer gesagt liegt der Fehler in der Funktion ExpGetProcessInformation.

Die Schwachstelle gilt als besonders gravierend, da sie zu 100 Prozent deterministisch ist und lediglich einen einzigen Systemaufruf benötigt, um den Kernel-Speicher zu manipulieren. Im Zentrum des Problems steht der Systemaufruf NtQuerySystemInformation mit der Informationsklasse 253 (SystemProcessInformationExtension).

Wird dieser Aufruf mit einer Pufferlänge, wird die Validierung durch die Funktion ProbeForWrite im Kernel vollständig umgangen. Dadurch können beliebige vom Benutzer bereitgestellte Zeiger, einschließlich Kernel-Adressen, ohne jegliche Prüfung verwendet werden. Dies führt zu einer leistungsfähigen und willkürlichen Primitive zur Erhöhung.

Technischer Hintergrund

Während die ausgenutzte Funktion durchläuft, erhöht sie Werte an einer vom Angreifer kontrollierten Speicheradresse in allen laufenden Prozessen. Folglich wird der Kernel-Speicher auf vorhersehbare und wiederholbare Weise modifiziert.

Die Schwachstelle zeichnet sich dadurch aus, dass sie nicht auf traditionelle Exploitationstechniken wie Race Conditions, Heap-Spraying oder Token-Manipulation angewiesen ist. Stattdessen bietet sie über einen Logikfehler direkten Schreibzugriff auf den Kernel-Speicher.

Da NtQuerySystemInformation nicht unter gängige Sandbox-Schutzmechanismen wie Win32k-Lockdown oder Integritätsprüfungen fällt, ist die Lücke auch aus sandboxierten Umgebungen wie den Renderern der Browser Chrome, Edge und Firefox erreichbar.

Sicherheitslage und Risiko

Dies macht sie für Angriffsketten, die Browser-Sandboxen durchbrechen sollen, Angriffsszenario beginnt mit einem kompromittierten Browser-Renderer-Prozess. Unter Ausnutzung dieser Schwachstelle kann ein Angreifer bestimmte Kernel-Strukturen inkrementieren, um weitere Primitive zu erlangen, einschließlich beliebiger Kernel-Lesezugriffe.

Durch gezielte Korruption interner Strukturen wie CmpLayerVersions können Angreifer Kernel-Peinträger in und vertrauliche Kernel-Daten extrahieren. Dies ermöglicht das Umgehen älligkeit (KASLR) und das Auffinden kritischer Strukturen, beispielsweise EPROCESS.

Sobald ein Lesezugriff auf den Kernel etabliert ist, kann der Angreifer die Liste aktiver Prozesse durchlaufen, um sein eigenes Prozess-Token zu lokalisieren und Privilegien-Bitmasks zu manipulieren. Das Inkrementieren spezifischer Offset-Werte innerhalb der Token-Struktur kann Privilegien wie SeDebugPrivilege aktivieren.

Sicherheitslage und Risiko

Dies erlaubt das Öffnen für Prozesse mit hohen Privilegien, wie winlogon.exe, und die Einspritzung letztlich die Ausführung einer Befehlszeile mit den Rechten \SYSTEM. Die Schwachstelle verdeutlicht zudem eine allgemeinere architektonische Schwäche: Windows erzwingt die Supervisor-Mode Access Prevention (SMAP) nicht.

Dadurch kann der Kernel während der Ausnutzung sicher auf Speicher im Benutzermodus zugreifen. Dieses Verhalten ermöglicht Angreifern, gefälschte Strukturen im Benutzermodus abzubilden und vom Kernel verarbeiten zu lassen, ohne dass Fehler ausgelöst werden, was die Ausnutzung erheblich vereinfacht.

Der Sicherheitsforscher Ori Nimron betonte, dass dieser Fehler in einem stark überwachten Systemaufruf (Syscall) existiert und zeigt, dass selbst gut auditierte Codepfade kritische Mängel enthalten können. Die Schwachstelle wurde ursprünglich für den Wettbewerb Pwn2Own Berlin 2026 entwickelt.

Sicherheitslage und Risiko

Sie wurde jedoch erst öffentlich bekanntgegeben, nachdem die Einreichung aufgrund ätsengpässen abgelehnt worden war. Bisher liegen keine bestätigten Details zu einem offiziellen Patch vor, und Benutzer 11-Builds sind weiterhin gefährdet.

Organisationen werden aufgefordert, auf ungewöhnliche Nutzung, Updates so schnell wie möglich anzuwenden und Endpoint-Detection-Regeln zu implementieren, um anomale Kernel-Interaktionsmuster zu identifizieren.

Diese Schwachstelle unterstreicht die anhaltenden Risiken in der Angriffsfläche des Kernels und die Bedeutung einer kontinuierlichen Sicherheitsprüfung.