Windows Ortak Günlük Dosya Sistemi’nde (CLFS) bir saldırgan tarafından güvenliği ihlal edilmiş makinelerde yükseltilmiş izinler elde etmek için kullanılabilecek bir güvenlik açığıyla ilgili ayrıntılar ortaya çıktı.
CVE-2022-37969 (CVSS puanı: 7.8) olarak izlenen sorun, Microsoft tarafından Eylül 2022 için Salı Yaması güncellemelerinin bir parçası olarak ele alındı ve aynı zamanda vahşi ortamda aktif olarak istismar edildiği belirtildi.
Şirket, “Saldırgan, hedef sistemde zaten erişime ve kod çalıştırma yeteneğine sahip olmalıdır” dedi. kayıt edilmiş danışmanlığında. “Bu teknik, saldırganın hedef sistemde bu yeteneğe sahip olmadığı durumlarda uzaktan kod yürütülmesine izin vermez.”
Ayrıca, CrowdStrike, DBAPSecurity, Mandiant ve Zscaler’den araştırmacılara, saldırıların doğasıyla ilgili ek ayrıntılara girmeden güvenlik açığını bildirdikleri için teşekkür etti.
Şimdi, Zscaler ThreatLabz araştırmacı ekibi, ifşa 2 Eylül 2022’de sıfır gün için vahşi bir istismar yakaladığını söyledi.
Siber güvenlik firması, “Açıklığın nedeni, CLFS.sys’deki temel günlük dosyası (BLF) için Temel Kayıt Başlığındaki cbSymbolZone alanında katı bir sınır denetiminin olmamasından kaynaklanıyor” dedi. Hacker Haberleri.
“cbSymbolZone alanı geçersiz bir ofset olarak ayarlanmışsa, sınır dışı yazma geçersiz ofsette gerçekleşecek.”
CLFS bir genel amaçlı günlük kaydı hizmeti hem kullanıcı modunda hem de çekirdek modunda çalışan yazılım uygulamaları tarafından verileri ve olayları kaydetmek ve günlük erişimini optimize etmek için kullanılabilir.
CLFS ile ilişkili kullanım durumlarından bazıları, çevrimiçi işlem işlemeyi (OLTP), ağ olaylarının günlüğe kaydedilmesini, uyumluluk denetimlerini ve tehdit analizini içerir.
Zscaler’a göre, güvenlik açığı, temel kayıt adı verilen bir meta veri bloğunda yer almaktadır. temel günlük dosyasıCreateLogFile() işlevi kullanılarak bir günlük dosyası oluşturulduğunda oluşturulan .
“[Base record] içerir sembol tabloları Temel Günlük Dosyası ile ilişkili çeşitli istemci, kapsayıcı ve güvenlik bağlamlarıyla ilgili bilgileri ve bunlara ilişkin muhasebe bilgilerini depolayan,” Alex IonescuCrowdstrike’ın baş mimarı.
Sonuç olarak, özel hazırlanmış bir temel günlük dosyası aracılığıyla CVE-2022-37969’dan başarılı bir şekilde yararlanılması, bellek bozulmasına ve buna bağlı olarak bir sistem çökmesine neden olabilir (diğer adıyla mavi ekran veya BSoD) güvenilir bir şekilde.
Bununla birlikte, bir sistem çökmesi, güvenlik açığından yararlanmanın ortaya çıkardığı sonuçlardan yalnızca biridir, çünkü ayrıcalık yükseltme elde etmek için silah olarak da kullanılabilir.
Zscaler, güvenlik açığını tetiklemek için kavram kanıtı (PoC) talimatlarını da kullanıma sunarak, Windows kullanıcılarının olası tehditleri azaltmak için en son sürüme yükseltmelerini zorunlu hale getirdi.
