{"id":322735,"date":"2026-03-20T00:05:46","date_gmt":"2026-03-19T23:05:46","guid":{"rendered":"https:\/\/borncity.com\/blog\/?p=322735"},"modified":"2026-03-19T08:15:55","modified_gmt":"2026-03-19T07:15:55","slug":"windows-registry-schwachstelle-regpwn-cve-2026-24291-am-10-maerz-2026-gefixt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2026\/03\/20\/windows-registry-schwachstelle-regpwn-cve-2026-24291-am-10-maerz-2026-gefixt\/","title":{"rendered":"Windows-Registry-Schwachstelle \"RegPwn\" (CVE-2026-24291) am 10. M\u00e4rz 2026 gefixt"},"content":{"rendered":"

\"Windows\"Microsoft hat mit den Sicherheitsupdates vom 10. M\u00e4rz 2026 auch eine Schwachstelle in der Windows-Registrierung geschlossen. Die RegPwn-Schwachstelle CVE-2026-24291 erm\u00f6glichte es einem autorisierten Angreifer durch eine\u00a0 fehlerhafte Berechtigungszuweisung f\u00fcr eine kritische Ressource in Windows lokal Berechtigungen zu erweitern.<\/p>\n

<\/p>\n

Windows RegPwn-Schwachstelle CVE-2026-24291<\/h2>\n

\"\"Ich bin bereits vor einigen Tagen auf den nachfolgenden Tweet<\/a> gesto\u00dfen, der die als RegPwn<\/em>\u00a0bezeichnete Windows-Sicherheitsl\u00fccke \" (CVE-2026-24291) mit hohem Schweregrad in diesem Beitrag<\/a> thematisiert.<\/p>\n

\"Windows-Schwachstelle<\/a><\/p>\n

Microsoft hat die RegPwn<\/em>-Schwachstelle (CVE-2026-24291<\/a>) zum 10. M\u00e4rz 2026 \u00f6ffentlich gemacht. Es handelt sich um eine Windows Accessibility Infrastructure (ATBroker.exe) Elevation of Privilege-Schwachstelle, die mit einem CVSS 3.1-Score von 7.8 bewertet wurde. Die Ausnutzung wird als eher wahrscheinlich eingestuft.<\/p>\n

Eine fehlerhafte Berechtigungszuweisung f\u00fcr eine kritische Ressource in der Windows-Barrierefreiheitsinfrastruktur (ATBroker.exe) erm\u00f6glicht es einem autorisierten Angreifer, lokal Berechtigungen zu erweitern. Ein Angreifer, dem es gelingt, diese Sicherheitsl\u00fccke auszunutzen, k\u00f6nnte sich SYSTEM-Rechte verschaffen.<\/p>\n

Microsoft hat diese Schwachstelle mit den Sicherheitsupdates vom 10. M\u00e4rz 2026 geschlossen. Es stehen Patches f\u00fcr die noch im Support befindlichen Windows Clients (siehe Patchday: Windows 10\/11 Updates<\/a> (10. M\u00e4rz 2026)) und Windows Server (siehe Patchday: Windows Server-Updates<\/a> (10. M\u00e4rz 2026)) bereit.<\/p>\n

Details zur Schwachstelle CVE-2026-24291<\/h2>\n

Entdeckt wurde die Schwachstelle RegPwn<\/em>\u00a0(CVE-2026-24291<\/a>) von den britischen Sicherheitsforscher von SDSec. Diese Sicherheitsl\u00fccke betraf Windows 10 und 11 sowie Windows Server 2012, 2016, 2019, 2022 und 2025.\u00a0Das Team nutzte die Schwachstelle seit Januar 2025 erfolgreich in internen Tests. Dann hat man das Ganze\u00a0am 13. M\u00e4rz 2026 im Beitrag\u00a0RIP RegPwn<\/a> dokumentiert, nachdem Microsoft entsprechende Updates ver\u00f6ffentlicht hatte.<\/p>\n

Windows unterst\u00fctzt die Barrierefreiheit \u00fcber eine Sammlung integrierter Funktionen (Windows Accessibility), um das Betriebssystem f\u00fcr Menschen mit Behinderungen oder besonderen Anforderungen zu machen. Diese Funktionen bieten alternative M\u00f6glichkeiten f\u00fcr Tastatureingaben, Sprache, Bildschirmleseprogramm, visuelle Anpassungen und assistive Technologien. Dazu verwaltet Windows die Liste der installierten Funktionen zur Barrierefreiheit im Registrierungsschl\u00fcssel:<\/p>\n

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Accessibility\\<xxx><\/pre>\n
Wird eine Funktion (z. B. Narrator, Bildschirmtastatur usw.) zur Windows-Barrierefreiheit verwendet, erstellt Windows folgenden Registrierungsschl\u00fcssel:<\/p>\n
HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Accessibility\\ATConfig\\<Name der Barrierefreiheitsfunktion><\/pre>\n
Dieser gew\u00e4hrt einem Benutzer mit geringen Berechtigungen volle Kontrolle. Dieser Registrierungsschl\u00fcssel wird au\u00dferdem mit den Konfigurationsdaten der verwendeten Funktion (z.B. Bildschirmtastatur) bef\u00fcllt:<\/p>\n
\"Registry-Eintr\u00e4ge<\/p>\n
Diese Konfigurationen werden dann in den folgenden Registrierungsschl\u00fcssel unter HKLM kopiert,<\/p>\n
HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Accessibility\\Session<session id>\\ATConfig<\/pre>\n
der von winlogon.exe<\/em> w\u00e4hrend des Anmeldevorgangs erstellt wird und dem angemeldeten Benutzer Schreibrechte gew\u00e4hrt. Das er\u00f6ffnet einem Angreifer die M\u00f6glichkeit, die Verwaltung der Barrierefreiheitsfunktionen durch Windows zu missbrauchen. Die Windows Funktionen zur Barrierefreiheit werden im Benutzerkontext ausgef\u00fchrt, wenn auch aufgrund des UIAccess-Flags<\/em> mit hoher Integrit\u00e4t.<\/p>\n
Startet ein Benutzer ein Tool wie die Bildschirmtastatur, legt Windows einen speziellen Registrierungsschl\u00fcssel an, um dessen Konfiguration zu speichern. Dieser Registrierungsschl\u00fcssel gew\u00e4hrt einem Benutzer mit geringen Berechtigungen volle Zugriffsrechte.<\/p>\n
Es stellt sich daher die naheliegende Frage: Wie kann dies ausgenutzt werden, um SYSTEM-Rechte zu erlangen? Die L\u00f6sung stellt der\u00a0Secure Desktop dar, der, im Gegensatz zum Benutzer-Desktop, nur vertrauensw\u00fcrdige Prozesse, die als SYSTEM laufen, ausf\u00fchren darf.<\/p>\n
Wenn ein Benutzer eine Secure-Desktop-Sitzung erstellt, indem er entweder die Workstation sperrt oder einen Prozess \u00fcber die Option Als Administrator ausf\u00fchren<\/em>\u00a0startet, werden zwei atbroker.exe<\/em>-Prozesse gestartet. Einer der Prozesse l\u00e4uft im aktuellen Benutzerkontext, der andere als SYSTEM-Konto.<\/p>\n
Der als Benutzer mit geringen Berechtigungen ausgef\u00fchrte Prozess atbroker.exe<\/em>\u00a0kopiert erneut alle Konfigurationen von<\/p>\n
HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Accessibility\\ATConfig\\osk<\/pre>\n
nach<\/p>\n
HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Accessibility\\Session<session id>\\ATConfig\\osk<\/pre>\n
Da der Registrierungsschl\u00fcssel:<\/p>\n
HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Accessibility\\Session<session id>\\ATConfig\\osk<\/pre>\n
f\u00fcr den aktuellen Benutzer beschreibbar ist und die Konfigurationswerte aus einem vom Benutzer kontrollierten Registrierungsspeicherort kopiert werden, kann dieses Verhalten missbraucht werden, um durch die Nutzung symbolischer Registrierungsverkn\u00fcpfungen ein beliebiges Schreiben in den Registrierungsschl\u00fcssel im SYSTEM-Kontext zu erreichen.<\/p>\n
Um ein kleines Zeitfenster zwischen dem Start von osk.exe<\/em> und dem Schreiben in den Registrierungsschl\u00fcssel zu gewinnen, wird vom Proof of Concept der Sicherheitsforscher eine opportunistische Sperre auf<\/p>\n
C:\\Program Files\\Common Files\\microsoft shared\\ink\\fsdefinitions\\oskmenu.xml<\/pre>\n
gesetzt. Wenn die Oplock-Sperre ausgel\u00f6st wird, wird der Registrierungsschl\u00fcssel<\/p>\n
HKLM\\SOFTWARE\\Microsoft\\Windows NT\\ CurrentVersion\\Accessibility\\Session<session id>\\ATConfig\\osk<\/pre>\n
durch einen symbolischen Link ersetzt, der auf einen beliebigen Registrierungsschl\u00fcssel verweist. Dadurch k\u00f6nnen dann von einem Nutzer mit Benutzerrechten beliebige Programme mit Systemberechtigungen gestartet werden. Die Details sind dem Bericht der Sicherheitsforscher zu entnehmen.<\/p>\n","protected":false},"excerpt":{"rendered":"
Microsoft hat mit den Sicherheitsupdates vom 10. M\u00e4rz 2026 auch eine Schwachstelle in der Windows-Registrierung geschlossen. Die RegPwn-Schwachstelle CVE-2026-24291 erm\u00f6glichte es einem autorisierten Angreifer durch eine\u00a0 fehlerhafte Berechtigungszuweisung f\u00fcr eine kritische Ressource in Windows lokal Berechtigungen zu erweitern.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,185,301],"tags":[4328,4315,3288],"class_list":["post-322735","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-update","category-windows","tag-sicherheit","tag-update","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/322735","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=322735"}],"version-history":[{"count":6,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/322735\/revisions"}],"predecessor-version":[{"id":322746,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/322735\/revisions\/322746"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=322735"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=322735"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=322735"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}