Microsoft: Windows-Lücke wird aktiv ausgenutzt

US-Behörden warnen vor kritischer Schwachstelle im Common Log File System. Angreifer können über die Sicherheitslücke vollständige Systemkontrolle erlangen.

Die US-Cybersicherheitsbehörde CISA hat eine dringende Warnung für eine Windows-Schwachstelle herausgegeben, die bereits aktiv von Cyberkriminellen ausgenutzt wird. Die Sicherheitslücke CVE-2021-43226 im Windows Common Log File System ermöglicht es Angreifern, ihre Berechtigungen auf die höchste Systemebene auszuweiten – ein klassisches Sprungbrett für schwere Cyberattacken.

Das Problem betrifft nahezu alle modernen Windows-Versionen, von Windows 10 und 11 bis hin zu Server-Editionen seit 2008. Was die Lage besonders brisant macht: Die Schwachstelle wurde bereits im Dezember 2021 bekannt, doch erst jetzt registriert CISA aktive Angriffe.

Angreifer nutzen Kernkomponente aus

Der Fehler liegt im Common Log File System-Treiber, einer fundamentalen Komponente von Windows. Cyberkriminelle können manipulierte Log-Dateien erstellen, die den Treiber zum Absturz bringen und dabei schädlichen Code mit höchsten Systemberechtigungen ausführen.

Besonders perfide: Die Angreifer benötigen zunächst nur normale Nutzerrechte – etwa durch Phishing oder andere Schwachstellen erhalten. Über die CLFS-Lücke verschaffen sie sich dann SYSTEM-Rechte und damit praktisch unbegrenzte Kontrolle über den betroffenen Computer.

Mit diesen Vollzugriff können Kriminelle sich im Netzwerk ausbreiten, Ransomware installieren, sensible Daten stehlen oder Sicherheitssoftware deaktivieren. Ein Worst-Case-Szenario für jede Organisation.

Strenge Frist für US-Behörden

CISA hat den Bundesbehörden eine klare Deadline gesetzt: Bis zum 27. Oktober müssen alle betroffenen Systeme mit den Microsoft-Patches aktualisiert werden. Diese Binding Operational Directive gilt zwar nur für US-Bundesbehörden, doch Sicherheitsexperten raten auch deutschen Unternehmen zu sofortigem Handeln.

Die Aufnahme in den KEV-Katalog (Known Exploited Vulnerabilities) bestätigt, dass Angreifer bereits funktionsfähige Exploits entwickelt haben. Kein theoretisches Risiko mehr, sondern eine akute Bedrohung.

Wiederholungstäter CLFS-Treiber

Der Common Log File System-Treiber steht seit Jahren im Visier von Sicherheitsforschern und Hackern. Mehrere Schwachstellen wurden in den vergangenen Jahren in dieser Windows-Komponente entdeckt – ein Indiz dafür, dass Angreifer die Architektur des Treibers sehr genau verstehen.

CVE-2021-43226 zeigt exemplarisch, wie auch ältere Schwachstellen plötzlich wieder hochaktuell werden können. Offenbar haben Cyberkriminelle neue Angriffstechniken für diese bereits bekannte Lücke entwickelt.

Sofortige Maßnahmen erforderlich

Microsoft hat entsprechende Sicherheitsupdates bereits veröffentlicht. Unternehmen sollten ihre Patch-Management-Systeme nutzen, um alle betroffenen Windows-Systeme schnellstmöglich zu aktualisieren.

Anzeige: Für den Ernstfall vorbereitet sein – falls ein Angriff oder ein fehlgeschlagenes Update Windows nicht mehr starten lässt. Festplatte kaputt oder Windows streikt? So retten Sie Ihren PC mit einem Boot‑Stick. Der kostenlose Report erklärt Schritt für Schritt, wie Sie den Windows‑11‑USB‑Stick erstellen und richtig einsetzen – ideal als Notfall-Tool. Gratis‑Anleitung „Windows 11 Boot‑Stick erstellen“ sichern

Für Systeme, die nicht sofort gepatcht werden können, empfehlen Experten zusätzliche Schutzmaßnahmen: Application-Control-Richtlinien oder die Beschränkung des Zugriffs auf den CLFS-Treiber, wo technisch möglich.

Sicherheitsteams sollten verstärkt nach verdächtigen Aktivitäten rund um die Datei clfs.sys oder ungewöhnlichen Dateisystem-Zugriffen Ausschau halten. Bei der bestätigten aktiven Ausnutzung zählt jede Stunde.