Im SSD-Tool Samsung Magician für Windows wurde eine kritische Schwachstelle festgestellt. Im Samsung Magician 6.3.0 bis 8.3.2 für Windows wurde ein Problem entdeckt, welches potentiell zum DLL-Hijacking mit Rechteerweiterung führen kann. Es gibt aber ein Update für die betroffenen Versionen.
Samsung Magician zur SSD-Verwaltung
Mit dem Samsung Magician lassen sich interne und externe SSDs von Samsung sowie SD-Speicherkarten, MicroSDs und USB Flash Drives überwachen, steuern und in ihrer Leistung optimieren. Mithilfe des Tools lassen sich auch Firmware-Updates und Leistungstests (Benchmarks) durchführen. Die Software ist im Lieferumfang einiger Samsung-SSDs enthalten und kann kostenlos aus dem Internet heruntergeladen werden.
Schwachstelle CVE-2025-57836
Samsung hat zum 4. Januar 2026 einen Sicherheitshinweis zur Schwachstelle CVE-2025-57836 veröffentlicht. Das Installationsprogramm erstellt während der Installation einen temporären Ordner mit schwachen Berechtigungen. Dies ermöglicht einem Nutzer ohne Administrator-Berechtigungen ein DLL-Hijacking durchführen und dadurch seine Berechtigungen zu erhöhen. Die Angreifbarkeit dürfte daher begrenzt sein (nur während der Installation, solange der temporäre Ordner mit den DLLs existiert, un dnur auf Windows bezogen).
Sandro Poppi hat diesen Bug, der mit der Sicherheitseinstufung "High" (CSSV Base Score 7.8) eingestuft wurde, am 11. August 2025 an Samsung gemeldet. Betroffen sind die Samsung Magician Versionen 6.3.0-8.3.2 für Windows bzw. deren Windows Installer. Samsung hat auf seiner Download-Seite die Version 9.0.0 des Samsung Magician für verschiedene Betriebssysteme bereitgestellt, um die Schwachstelle zu beseitigen.
Ich habe keinen Samsung Magician installiert – normalerweise müsste die Windows-Version dieses Tools aber eine Option aufweisen, um die neueste Version als Update zu ziehen.
MVP: 2013 – 2016
Die Version 9.0.0.910 gibts aber schon seit dem 1.12.2025!
Also entweder ist die Meldung schon alt, oder die haben sich reichlich Zeit gelassen das öffentlich zu machen.
Den Fehler hatte jemand ja auch im August 2025 gemeldet
Naja machts nicht besser:
gemeldet im August 2025
gefixt im Dezember 2025
Meldung raus Januar 2026
nachdem der ganze Käse schon schimmelt.
Magician hat eine integrierte Updatefunktion, die relativ zeitnah zum Release aktiv wird. Wer Magician installiert hat, braucht sich jetzt also keinen Stress zu machen, es sei denn die Mühle hatte schon einen Monat keinen Internetkontakt mehr. Und dann spielts auch keine Rolle.
Mich wundert, dass Sie solche Meldungen bringen, wo Sie doch eigentlich keine Update-Info-Seite sein wollen. (Da gibts inzwischen ja auch schon genug gute.)
Anderes Problem ist wohl, dass die 9.0.0 einen Bug hat, der den Start der Software verhindert. Hatte zuvor auch die 8.3.2 drauf und die lief. Nach dem Update habe ich das UI nur einmal gesehen, da hat er mit ein FW-Update der SSD empfohlen und seit ich das gemacht habe, geht der Magician nicht mehr auf.
Einer kurzen Rechereche nach, bin ich wohl nicht der einzige und das Problem scheint bekannt zu sein. Die Empfehlung geht dahin, wieder 8.3.2 zu installieren, was aber angesichts der Lücke wohl auch keine Lösung ist.
Eine mehrfache Neuinstallation der v9 nach vorherigem Bereinigen hat bislang noch keinen Erfolg gebracht. Nutze W11 25H2.
Ist das nicht ohnehin ein Sturm im Wasserglas?
Wenn die Schwachstelle nur während der Installation ausgenutzt werden kann, sind doch alle, die eine ältere Version schon installiert haben, sicher.
Oder habe ich da etwas falsch verstanden?
Persönlich nutze ich eine ältere Version, die noch nicht so aufgebläht war, ca. 1-2 mal pro Jahr um zu gucken, wie fit die SSD noch ist und ob es Firmware Updates gibt (bei meiner älteren SSD schon lange nicht mehr).
Aus dem Autostart u.ä. habe ich Magician schon lange verband.
Zu "Ist das nicht ohnehin ein Sturm im Wasserglas?": Jein – wenn ein Auto-Update oder ein Update ausgeführt wird, gibt es ein Zeitfenster, wo die DLLs während des Setups ausgetauscht werden könnten. Da hättest Du auf den ersten Blick recht.
Jetzt kann man argumentieren: "Geh, sind doch nur wenige Sekunden, wo das DLL-Hijacking-Problem existiert". Meine Sturm- und Drag-Zeit, zu der ich Windows Scripting Host-Bücher für Microsoft Press (DE, USA) geschrieben habe, ist zwar über ein viertel Jahrhundert her. Ich erinnere mich aber an ein Beispielscript im Buch, was nur darauf wartete, dass ein bestimmtes Dateiereignis stattfand, um dann einige Demo-Zeilen auszuführen (man hätte z.B. etwas drucken oder archivieren – aber auch Dateien manipulieren können).
Wenn ich jetzt sehe, wie Cyberkriminelle ihre Infrastruktur samt Infektionsroutinen aufstellen, und mitbekomme, dass es irgendwo eine Privilege Escalation (EoP) Schwachstelle in einem Installer gibt, wäre das geradezu eine Einladung, da solche Fälle mit abzudecken. Ob das für ältere Versionen des Magician zutrifft, weiß ich nicht – kannst Du aber testen, indem Du dir die Zugriffsberechtigungen des temporären Installationsordners ansiehst.
Unter diesem Kontext bin ich persönlich (nicht nur in diesem Fall) vorsichtig mit der Zugweisung "keine Relevanz" oder "Sturm im Wasserglas". Immer im Hintergrund dran denken: Den Cyberkriminellen reicht ein Fall oder eine Konstellation, wo der PoC funktioniert, und das Opfer ist im Sack.
Andererseits: Windows hat so viele Baustellen – ich muss mal schauen, ob und wann ich Zeit finde, es aufzubereiten. Stefan Kanthak schüttet mich mit Infos zu, wo "Windows Loop Holes" in den Zugriffsberechtigungen existieren – da gibt es einige Baustellen, die offenbar immer noch nicht in Masse ausgenutzt werden. Cyberkriminelle sind auch nur Menschen, die den einfachsten Weg einschlagen. Aber nun sind wir bei Security by Obscurity, auf die ich mich persönlich nicht verlassen würde.
Bitte noch ein bisschen auf der 7-Zip-dll-Lücke in Defender-Enterprise herumreiten, denn das ist immer noch nicht vom Tisch, Microsoft hat die Datei noch nicht auf Version 25.0.1 getauscht.