Han surgido detalles sobre una falla de seguridad ahora parcheada en el Sistema de archivos de registro comunes de Windows (CLFS) que podría ser explotada por un atacante para obtener permisos elevados en máquinas comprometidas.
Rastreado como CVE-2022-37969 (puntaje CVSS: 7.8), Microsoft abordó el problema como parte de sus actualizaciones de Patch Tuesday para septiembre de 2022, al tiempo que señaló que se estaba explotando activamente en la naturaleza.
«Un atacante ya debe tener acceso y la capacidad de ejecutar código en el sistema de destino», dijo la empresa. señalado en su aviso. «Esta técnica no permite la ejecución remota de código en los casos en que el atacante aún no tiene esa capacidad en el sistema de destino».
También reconoció a los investigadores de CrowdStrike, DBAPPSecurity, Mandiant y Zscaler por informar sobre la vulnerabilidad sin profundizar en detalles adicionales sobre la naturaleza de los ataques.
Ahora, el equipo de investigadores de Zscaler ThreatLabz ha revelado que capturó un exploit en estado salvaje para el entonces día cero el 2 de septiembre de 2022.
«La causa de la vulnerabilidad se debe a la falta de una verificación estricta de los límites en el campo cbSymbolZone en el encabezado de registro base para el archivo de registro base (BLF) en CLFS.sys», dijo la firma de seguridad cibernética en un análisis de causa raíz compartido con Las noticias de los hackers.
«Si el campo cbSymbolZone se establece en un desplazamiento no válido, se escritura fuera de límites ocurrirá en el desplazamiento no válido».
CLFS es un servicio de registro de propósito general que pueden utilizar las aplicaciones de software que se ejecutan tanto en modo de usuario como en modo kernel para registrar datos y eventos y optimizar el acceso a los registros.
Algunos de los casos de uso asociados con CLFS incluyen procesamiento de transacciones en línea (OLTP), registro de eventos de red, auditorías de cumplimiento y análisis de amenazas.
Según Zscaler, la vulnerabilidad tiene sus raíces en un bloque de metadatos llamado registro base que está presente en un archivo de registro básicoque se genera cuando se crea un archivo de registro mediante la función CreateLogFile().
«[Base record] contiene la tablas de símbolos que almacenan información sobre los distintos contextos de cliente, contenedor y seguridad asociados al Base Log File, así como información contable sobre estos», según Alex Ionescuarquitecto jefe de Crowdstrike.
Como resultado, una explotación exitosa de CVE-2022-37969 a través de un archivo de registro base especialmente diseñado podría provocar daños en la memoria y, por extensión, provocar un bloqueo del sistema (también conocido como pantalla azul de muerte o BSoD) de forma fiable.
Dicho esto, un bloqueo del sistema es solo uno de los resultados que surgen del aprovechamiento de la vulnerabilidad, ya que también podría convertirse en un arma para lograr una escalada de privilegios.
Zscaler también ha puesto a disposición instrucciones de prueba de concepto (PoC) para activar el agujero de seguridad, por lo que es esencial que los usuarios de Windows actualicen a la última versión para mitigar las amenazas potenciales.