Mit dem Januar-Patchday hat Microsoft zwei kritische Sicherheitsluecken im NTFS-Treiber ntfs.sys geschlossen. Die Schwachstellen ermoeglichen eine lokale Privilegienerweiterung bis zur Stufe SYSTEM und damit die komplette Uebernahme der betroffenen Windows-Systeme, sobald ein Angreifer ersten Zugriff erlangt hat.
Zwei NTFS-Schwachstellen betreffen fast alle aktuellen Windows-Versionen
Die Patches wurden fuer 37 unterschiedliche Windows-Editionen veroeffentlicht, darunter Windows 10, Windows 11 sowie Windows Server 2019, 2022 und die kommende Version Windows Server 2025. Das verdeutlicht die Tragweite der Probleme: NTFS ist die Standard-Dateisystemplattform praktisch aller modernen Windows-Arbeitsplaetze und -Server, und der Treiber ntfs.sys laeuft im Kernelmodus mit hoechsten Privilegien.
Beide Schwachstellen wurden von einem Sicherheitsforscher von Positive Technologies entdeckt und mit 7,8 auf der CVSS-Skala als „hoch“ eingestuft. Offiziell gelten sie als lokale Sicherheitsluecken. In realen Angriffskampagnen werden genau solche Kernel-Bugs jedoch haeufig als zweiter oder dritter Schritt genutzt, nachdem Angreifer sich bereits einen ersten Zugang verschafft haben.
Technische Analyse der NTFS-Sicherheitsluecken
CVE-2026-20840: Heap-basiertes Pufferueberlauf-Risiko bei VHD-Verarbeitung
Die erste Schwachstelle, CVE-2026-20840, gehoert zur Klasse der heap-based buffer overflows. Ursache ist eine unsichere Verarbeitung virtueller Festplatten (VHD). Wird ein speziell praepurierter VHD-Datentraeger eingebunden, kann ntfs.sys Daten ausserhalb eines vorgesehenen Speicherbereichs schreiben.
Fuer eine Ausnutzung braucht der Angreifer bereits lokalen Zugriff, etwa ueber Malware, ein kompromittiertes Benutzerkonto oder einen erfolgreichen Phishing-Angriff. Anschliessend kann er einen manipulierten VHD einspielen und dessen Verarbeitung ausloesen. Gelingt dies, laesst sich beliebiger Code im Kernel-Kontext ausfuehren und der Zugriff bis auf SYSTEM-Ebene ausweiten. Ab diesem Punkt kann der Angreifer Sicherheitsmechanismen der Plattform praktisch uneingeschraenkt umgehen.
CVE-2026-20922: Unzureichende Validierung von Partitionsdaten
Die zweite Schwachstelle, CVE-2026-20922, weist ebenfalls einen CVSS-Score von 7,8 auf und beruht auf ungenuegenden Plausibilitaetspruefungen von Datenstrukturen innerhalb des NTFS-Treibers. Konkret werden Partitionstabellen beziehungsweise Strukturen eines Datentraegers nicht strikt genug validiert.
Ein Angreifer kann einen spezifisch aufgebauten Datentraeger oder eine Partition bereitstellen, die beim Zugriff eine fehlerhafte Verarbeitung in ntfs.sys ausloest. Auch hier resultiert dies in einer lokalen Privilegienerweiterung auf SYSTEM-Rechte. Damit werden unter anderem unsichtbare Malware-Installationen, Zugriff auf alle gespeicherten Daten sowie das Manipulieren von Protokolldaten und Sicherheitseinstellungen moeglich.
Einsatz in realen Angriffsketten: Vom Phishing zur Domain-Kompromittierung
Beide NTFS-Sicherheitsluecken sind nicht als Einstiegsvektor, sondern als Baustein in mehrstufigen Angriffen relevant. Typisch ist ein Ablauf, bei dem zunaechst mittels Phishing, unsicherer Remote-Zugaenge oder verwundbarer Anwendungen ein Standardbenutzer kompromittiert wird. Im Anschluss nutzen Angreifer Kernel-Luecken wie diese, um Privilegien anzuheben, Sicherheitssoftware zu deaktivieren und sich dauerhaft einzunisten.
In Unternehmensnetzwerken sind solche lokalen Privilegienerweiterungen besonders kritisch. Mit SYSTEM-Rechten auf einem Client oder Server lassen sich:
- Endpoint-Schutzmechanismen und Logging-Funktionen umgehen oder manipulieren,
- Anmeldeinformationen weiterer Nutzer und Administratoren aus dem Speicher abgreifen,
- weitere Systeme mittels lateral movement im Netzwerk kompromittieren,
- Forensik und Incident Response durch Loeschen oder Veraendern von Spuren massiv erschweren.
Branchenberichte wie der Microsoft Digital Defense Report oder der Verizon Data Breach Investigations Report zeigen regelmaessig, dass Privilegienerweiterung auf Windows-Systemen ein zentrales Element fortgeschrittener Angriffsoperationen (APT) ist. Kernel-nahe Schwachstellen wie in ntfs.sys sind deshalb besonders attraktiv, weil sie eine sehr zuverlaessige Kontrolle ueber das kompromittierte System bieten.
Empfohlene Schutzmassnahmen und kurzfristige Workarounds
Die wichtigste Gegenmassnahme besteht darin, die Januar-Sicherheitsupdates von Microsoft umgehend zu installieren. Dies gilt fuer alle unterstuetzten Versionen von Windows 10, Windows 11 und Windows Server. In professionellen Umgebungen sollten die Patches in bestehende Patch-Management-Prozesse integriert und ihre tatsaechliche Verteilung mittels Inventarisierung und Compliance-Reports ueberprueft werden.
Wo kurzfristig keine flaechenhafte Aktualisierung moeglich ist, lassen sich die Risiken durch zusaetzliche Sicherheitsmassnahmen reduzieren:
- Einsatz von VHD und anderen virtuellen Datentraegern minimieren, insbesondere wenn diese aus externen oder unkontrollierten Quellen stammen.
- Rechte zum Einbinden von Datentraeger-Images und zur Aenderung von Speicher-Konfigurationen strikt beschraenken (Least-Privilege-Prinzip).
- Monitoring fuer auffaellige Aktivitaeten rund um Datentraeger-Images, Partitionsaenderungen und Treiberfehler verstaerken.
- Regelmaessig nach Malware mit Exploit-Faehigkeiten fuer lokale Privilegienerweiterung scannen und EDR-Loesungen gezielt auf solche Indikatoren ausrichten.
Die aktuellen NTFS-Sicherheitsluecken unterstreichen, dass konsequentes Patch-Management, restriktive Rechtevergabe und Security-Awareness nach wie vor zu den wirksamsten Verteidigungsmassnahmen gehoeren. Organisationen sollten ihre Update-Strategie, das Rollen- und Berechtigungsmodell sowie Schulungen zur sicheren Handhabung von Dateien und E-Mail-Anhaengen regelmaessig ueberpruefen und nachschaerfen. Je schwerer es Angreifer haben, ueberhaupt einen ersten Zugang zu erhalten, desto geringer ist die Wahrscheinlichkeit, dass Kernel-Schwaechen wie CVE-2026-20840 und CVE-2026-20922 erfolgreich in einer Angriffskette ausgenutzt werden.
