Уязвимост в драйвера CLFS в Windows 11 позволява повишаване на привилегиите
Защитите на ядрото се оказват безсилни пред нов експлойт от вида PoC...
Емил Василев 12:25 | 28.10.2024 6 СподелиНай-четени
IT НовиниДаниел Маринов - 21:59 | 26.10.2024Каква е повода самолетите да оставят бели следи в небето
НаукаЕмил Василев - 18:47 | 22.10.2024Глобалният воден цикъл на Земята е нарушен „ за първи път в човешката история “
ХардуерЕмил Василев - 17:00 | 25.10.2024Швейцарски стартъп показа дребен модулен реактор, предопределен особено за центрове за данни
Емил Василевhttps://www.kaldata.com/В Windows 11 е открита сериозна накърнимост в драйвера на Common Log File System (CLFS), която разрешава на местни консуматори да усилят привилегиите си. CLFS дава отговор за ефикасното поддържане на систематични и приложни логове за следене на събития и възобновяване след неточности.
Уязвимостта е разпозната във функционалността „ CClfsBaseFilePersisted::WriteMetadataBlock “ и е обвързвана с непроследима стойност на връщане на ClfsDecodeBlock.
Тази дупка може да докара до щета на данни в структурата CLFS и да открие опция за повишение на привилегиите.
Атаката също по този начин разрешава на нападателите да научат адреса на ядрото в паметта, което оказва помощ да се заобиколят ограниченията за сигурност, част от най-новата версия 24H2 на Windows 11. Този аспект обаче не беше употребен по време на събитието TyphoonPWN 2024, на което беше показано доказателство за концепцията (PoC), защото тестването беше извършено на версия 23H2.
PoC – използване на способ и демонстрирането му на процедура, с цел да се потвърди, че дадена идея или доктрина работи.
Уязвимостта се употребява за манипулиране на структурата на дневника CLFS. Атаката основава журнален файл, модифицира данните му и нарушава основни систематични структури, с цел да поеме контрола на равнище ядро. Липсата на отбрана Supervisor Mode Access Prevention (SMAP) в Windows улеснява атакуващите да употребяват паметта на ядрото, което им разрешава да трансформират токените на процесите, с цел да усилят привилегиите си.
Примерният експлойт, демонстриран на TyphoonPWN 2024 сподели осъществяване на команден ред с привилегии на SYSTEM, което удостоверява високото равнище на опасност.
Изследователят, който е разкрил казуса в границите на надпреварата завоюва първото място. Въпреки че Microsoft съобщи, че уязвимостта е дублирана и към този момент е поправена, тестванията на последната версия на Windows 11 демонстрираха, че казусът остава неуреден. Все още не е оповестен идентификатор на CVE или информация за кръпката. Експертите по киберсигурност предлагат на систематичните админи да наблюдават за актуализации от Microsoft и навреме да конфигурират пачове незабавно щом те станат налични.
