Bereits im Februar 2025 habe ich eine Schwachstelle in den Sysinternals-Tools entdeckt und offengelegt, bei der Anwendungen DLLs unsicher aus dem Arbeitsverzeichnis laden. Die vollständige Analyse und das Disclosure dazu findest du hier. Mit der Ankündigung im Sysinternals-Blog vom 29. Januar 2025, dass das beliebte Tool ZoomIt künftig Bestandteil der Microsoft PowerToys wird, war es naheliegend zu prüfen, ob diese Schwachstelle in der neuen Umgebung weiterbesteht. Leider hat sich genau das bestätigt.

Ich habe kritische Schwachstellen in nahezu allen Sysinternals-Tools identifiziert, verifiziert und in einem Video die Hintergründe und den Angriff vorgestellt. Eine Zusammenfassung zur Schwachstelle sowie den Link zum Video findet ihr hier in diesem Blogpost. Diese Tools, entwickelt von Microsoft, sind in der IT-Administration weit verbreitet und werden oft zur Analyse und Fehlersuche eingesetzt. Die im Video demonstrierte Schwachstelle betrifft zahlreiche Anwendungen der Suite und ermöglicht es Angreifern, mithilfe von DLL-Injection schadhaften Code einzuschleusen und auszuführen. Nachdem nun mehr als 90 Tage seit der Erstmeldung an Microsoft verstrichen sind, ist es an der Zeit darüber zu reden.

Ich habe kritische Schwachstellen in nahezu allen Sysinternals-Tools identifiziert und verifiziert. Diese Tools sind essenziell für viele IT-Admins und Anwender – und genau das macht sie so gefährlich.

Gestern hatte ich die besondere Gelegenheit, beim Lions Clubs International Chiemsee Westufer einen Vortrag zum Thema Cybercrime zu halten. Herzlichen Dank an den Präsidenten Alexander Eichler für die Einladung und an alle Anwesenden für das große Interesse und die wertvollen Diskussionen!