CISA warnt vor einer Sicherheitslücke in Windows, die für Angriffe ausgenutzt wird
CISA hat eine dringende Sicherheitswarnung herausgegeben und am 6. Oktober 2025 die Sicherheitslücke CVE-2021-43226 in Microsoft Windows in seinen Katalog bekannter ausgenutzter Sicherheitslücken (KEV) aufgenommen.
Die Sicherheitslücke betrifft den Microsoft Windows Common Log File System (CLFS)-Treiber und stellt ein erhebliches Sicherheitsrisiko für Unternehmensumgebungen dar. Common Log File System, einer Kernkomponente von Windows, die für die Verwaltung von Transaktionsprotokollierungsvorgängen zuständig ist.
Sicherheitslücke in Microsoft Windows zur Ausnutzung von Berechtigungen (CVE-2021-43226)
Diese Sicherheitslücke ermöglicht es lokalen, authentifizierten Angreifern mit bestehendem Systemzugriff, kritische Sicherheitsmechanismen zu umgehen und ihre Berechtigungen auf SYSTEM-Ebene zu erhöhen.
Laut dem Security Response Center von Microsoft ist die Sicherheitslücke auf eine unsachgemäße Validierung von benutzerdefinierten Daten innerhalb der Speicherverwaltungsroutinen des CLFS-Treibers zurückzuführen.
Angreifer können diese Sicherheitslücke ausnutzen, indem sie bösartige CLFS-Protokolldateien erstellen, die Pufferüberlaufbedingungen auslösen und zur Ausführung von beliebigem Code mit erhöhten Berechtigungen führen.
Der Exploit erfordert lokalen Zugriff und Standardbenutzerrechte als Voraussetzungen, was ihn besonders gefährlich in Unternehmensumgebungen macht, in denen Angreifer bereits durch Phishing- oder Social-Engineering-Angriffe einen ersten Fuß in die Tür bekommen haben.
Die Sicherheitslücke betrifft mehrere Windows-Versionen, darunter Windows 10, Windows 11, Windows Server 2016, Windows Server 2019 und Windows Server 2022.
Sicherheitsexperten haben einen Proof-of-Concept-Exploit-Code identifiziert, der in Untergrundforen zirkuliert, was die Wahrscheinlichkeit aktiver Exploit-Kampagnen erhöht.
| Risikofaktoren | Details |
| Betroffene Produkte | Microsoft Windows 10 (alle Versionen) Microsoft Windows 11 (alle Versionen) Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2008 R2 SP1 Windows 7 SP1 |
| Auswirkungen | Rechteausweitung |
| Voraussetzungen für die Ausnutzung | Lokaler Zugriff auf das Zielsystem, authentifiziertes Benutzerkonto, Möglichkeit zur lokalen Ausführung von Code, mindestens Standardbenutzerrechte |
| CVSS 3.1-Score | 7,8 (hoch) |
Schutzmaßnahmen
Die CISA hat eine verbindliche Frist für die Behebung bis zum 27. Oktober 2025 festgelegt, innerhalb derer Bundesbehörden und Organisationen mit kritischer Infrastruktur Sicherheitspatches unverzüglich implementieren müssen. Die Richtlinie folgt den Vorgaben der Binding Operational Directive (BOD) 22-01, die schnelle Maßnahmen gegen Schwachstellen vorschreibt, bei denen aktive Ausnutzung nachgewiesen wurde.
Systemadministratoren sollten zunächst die Patches für Domänencontroller, Dateiserver und andere kritische Infrastrukturkomponenten priorisieren.
Für Systeme, die keine sofortigen Updates erhalten können, empfiehlt Microsoft die Implementierung von Anwendungssteuerungsrichtlinien und Windows Defender Exploit Guard als vorübergehende Schutzmaßnahmen.
Die Aufnahme der Sicherheitslücke in den KEV-Katalog der CISA deutet auf eine bestätigte Ausnutzung in realen Angriffsszenarien hin, obwohl die Zuordnung zu einer bestimmten Ransomware-Kampagne weiterhin unbekannt ist.
Sicherheitsteams sollten auf verdächtige Ereignis-ID-4656- und -4658-Protokolle achten, die auf unbefugte Zugriffsversuche auf das Dateisystem hinweisen, insbesondere im Zusammenhang mit CLFS-bezogenen Prozessen wie clfs.sys und clfsw32.dll.