Microsoft heeft een kwetsbaarheid in een onderdeel van het text services framework, of tsf, van Windows gedicht. Het lek is gevonden door een beveiligingsonderzoeker van Google, die stelt dat het lek sinds 2001 in Windows aanwezig was.

Het lek is in Windows aangetroffen door Tavis Ormandy, beveiligingsonderzoeker bij Googles Project Zero-initiatief. Hij onderzocht de communicatie tussen verschillende Windows-vensters, met name de communicatie met applicaties waarvoor beheerdersrechten nodig zijn. Hij ontdekte tijdens zijn experimenten dat er een module met de naam MSCTF geladen wordt. Hij wist niet waar ctf voor staat, maar wel dat dit onderdeel is van het Text Services Framework. Dit framework beheert onder andere invoermethoden, toetsenbordenlay-outs en tekstverwerking.

Bij het laden van een programma opent Windows een ctf-client die van een ctf-server instructies ontvangt bij het wijzigen van de invoer, zoals een andere taal. De client wijzigt de taal dan in real time in het programma. Ormandy ontdekte dat de communicatie tussen een ctf-client en -server niet beveiligd is.

Hierdoor kan een aanvaller een ctf-sessie kapen door zich voor te doen als ctf-server en commando's naar een programma te sturen, beschrijft hij tegen ZDNet. Dit werkt bij elk Windows-programma of -service, ook die met verhoogde systeemrechten of processen in een sandbox. Aanvallers kunnen deze methode niet gebruiken om in te breken op Windows-systemen, maar wel om hun rechten te verhogen en zo systemen over te nemen.

De eerste versie van ctf die Ormandy kon traceren dateert van 2001 en het werd daarna onderdeel van Windows XP. Het protocol bevat volgens hem nog steeds veel verouderde code. De onderzoeker heeft een tool op GitHub gepubliceerd waarmee onderzoekers het ctf-protocol verder kunnen analyseren en hij meldt benieuwd te zijn hoe Microsoft ctf gaat moderniseren.

Microsoft heeft het beschreven lek wel gedicht als onderdeel van de beveiligingsupdate van augustusvoor ondersteunde Windows-systemen. Daarmee dichtte Microsoft ook twee kritieke kwetsbaarheden in Remote Desktop Services van Windows.