James Forshaw von Google Project Zero veröffentlichte einen Blogbeitrag über die Entwicklung einer virtuellen Speicherzugriffsfalle unter Windows. Ziel dieser Falle ist es, das Lesen oder Schreiben an eine virtuelle Speicheradresse für eine erhebliche Zeitspanne zu unterbrechen. Dies kann zur Ausnutzung bestimmter Kernel-Schwachstellen verwendet werden. In seinem vorherigen Blogbeitrag schlug Forshaw die Verwendung einer SMB-Datei auf einem Remoteserver oder die missbräuchliche Nutzung der Cloud Filter API vor. Eine neue Funktion in Windows 11 24H2 ermöglicht jedoch den Missbrauch des lokalen SMB-Dateiservers, ohne dass ein Remoteserver benötigt wird. Diese Funktion erlaubt die Angabe des Ziel-TCP-Ports für den SMB-Client über die Kommandozeile, wodurch eine Verbindung zu einem gefälschten SMB-Server hergestellt werden kann. Die neue Funktion ermöglicht die Ausnutzung von Schwachstellen, die als "False File Immutability"-Bugs bekannt sind, und erfordert keinen Administratorzugriff. Forshaw hat seinen Beispiel-Fake-SMB-Server aktualisiert, um die Bindung an einen anderen Port zu ermöglichen, wodurch der Angriff lokal durchgeführt werden kann. Diese Änderung wurde in Windows 11 24H2, welches allgemein verfügbar ist, implementiert und ist standardmäßig aktiviert. Ein Administrator kann diese Funktion zwar über Gruppenrichtlinien deaktivieren, es ist jedoch unwahrscheinlich, dass Nicht-Enterprise-Benutzer diese Einstellung ändern. Forshaw glaubt, dass die standardmäßige Aktivierung dieser Funktion ein Fehler ist, der zukünftig Probleme für Windows verursachen könnte. Insgesamt bietet diese neue Funktion eine neue Möglichkeit, bestimmte Schwachstellen in Windows auszunutzen, und unterstreicht die Bedeutung sorgfältiger Überlegungen bei der Einführung neuer Funktionen in ein Betriebssystem.