Windows-Lücke: Forscher umgeht EDR-Schutz via Win32k-Callback
Veröffentlicht: 29.06.2026 um 16:38 Uhr, Redaktion boerse-global.de
Ein Sicherheitsforscher hat eine neuartige Methode veröffentlicht, um Schadcode in Windows-Prozesse einzuschleusen – und dabei nahezu alle gängigen Schutzprogramme zu umgehen.
Angriff auf die Kernel-Kommunikation
Der als n0qword bekannte Forscher Adrian Medero stellte am Montag einen Proof-of-Concept für eine Technik vor, die das Win32k-Callback-System von Windows ausnutzt. Das Verfahren greift den Mechanismus an, über den der Windows-Kernel mit Programmen im Benutzermodus kommuniziert.
Konkret zielt die Methode auf den Treiber win32k.sys ab. Durch einen sogenannten Inline-Detour am __fnCOPYDATA-Callback kann ein Angreifer die Ausführung eines entfernten Prozesses kapern. Der entscheidende Vorteil: Anders als ältere Injektionsmethoden verändert dieser Ansatz nicht die KernelCallbackTable-Struktur – genau jene Datenstruktur, die viele Sicherheitslösungen (EDR) überwachen.
Solche komplexen Angriffe auf die Kernel-Ebene zeigen, wie wichtig ein tiefgreifendes Verständnis aktueller Cyberrisiken für Unternehmen ist. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen. Neue KI-Gesetze, neue Cyberrisiken: Was kommt wirklich auf Ihr Unternehmen zu?
So läuft der Angriff ab
Die Implementierung folgt einem präzisen Ablauf. Zunächst identifiziert der Angreifer den Zielprozess und extrahiert dessen Process Environment Block (PEB). Anschließend wird der spezifische Callback-Pointer für __fnCOPYDATA aufgelöst. Danach allokiert der Angreifer ausführbaren Speicher im Zielprozess und platziert dort den Schadcode. Abschließend patcht er den Funktionsprolog des legitimen Callbacks mit einem Sprungbefehl zum Shellcode.
Die Auslösung erfolgt, sobald eine WM_COPYDATA-Nachricht per SendMessage-Funktion an den Zielprozess gesendet wird. Der Angreifer wechselt so von der Kernel-Ebene in die Ausführung von Benutzermodus-Code – über einen völlig legitimen System-Callback.
Erkennung und Abwehr
Trotz der Stealth-Eigenschaften haben Sicherheitsexperten Ansatzpunkte für die Erkennung identifiziert. Teams sollten auf ungewöhnliche Code-Seiten-Modifikationen achten, die speziell auf user32.dll-Callbacks abzielen.
Neben technischen Schwachstellen nutzen Hacker oft auch psychologische Manipulation, um in Firmennetze einzudringen. Erfahren Sie in diesem kostenlosen Anti-Phishing-Paket, wie Sie Ihr Unternehmen wirksam vor modernen Angriffsmethoden schützen. In 4 Schritten zum sicheren Unternehmen: So stoppen Sie Cyber-Angriffe
Weitere Warnsignale: Eine WriteProcessMemory-Operation, gefolgt von einem SendMessage-Aufruf an denselben Prozess. Unternehmen können ihre Abwehr zudem durch die Überwachung temporärer ausführbarer Speicherzuweisungen und die Inspektion von Funktionsprologen in sensiblen Systembibliotheken verstärken.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
