- 13,850
- 20
- 8 Ноя 2022
Защита ядра оказалась бессильной перед новым PoC-эксплойтом.
В операционной системе Windows 11 Для просмотра ссылки Войдиили Зарегистрируйся в драйвере Common Log File System ( CLFS ), позволяющая локальным пользователям повышать свои привилегии. CLFS отвечает за эффективное ведение системных и прикладных журналов для отслеживания событий и восстановления после ошибок.
Уязвимость выявлена в функции CClfsBaseFilePersisted::WriteMetadataBlock и связана с неотслеживаемым значением возврата ClfsDecodeBlock. Этот сбой может вызвать повреждение данных внутри структуры CLFS и открыть путь для повышения привилегий.
Атака также позволяет злоумышленникам узнать адрес ядра в пуле памяти, что помогает обходить будущие меры защиты, запланированные для версии Windows 11 24H2. Однако на мероприятии TyphoonPWN 2024, где и был представлен proof-of-concept ( PoC ), этот аспект использован не был, так как тестирование проводилось на версии 23H2.
Уязвимость эксплуатирует манипуляции со структурой логов CLFS. В ходе атаки создаётся лог-файл, модифицируются его данные и нарушаются ключевые структуры системы, что позволяет захватить управление на уровне ядра. Отсутствие защиты Supervisor Mode Access Prevention (SMAP) в Windows упрощает злоумышленникам работу с памятью ядра, позволяя менять токены процессов для повышения привилегий.
Пример использования уязвимости, продемонстрированный на TyphoonPWN 2024, показал запуск командной строки с правами SYSTEM, что подтверждает высокий уровень угрозы.
Исследователь, обнаруживший проблему в рамках соревнования, занял первое место. Хотя Microsoft сообщила, что данная уязвимость является дубликатом и уже исправлена, тесты на последней версии Windows 11 показали, что проблема остаётся нерешённой. CVE-идентификатор или информация о патче пока не опубликованы.
Эксперты по кибербезопасности рекомендуют системным администраторам следить за обновлениями от Microsoft и оперативно устанавливать патчи, как только они станут доступны.
В операционной системе Windows 11 Для просмотра ссылки Войди
Уязвимость выявлена в функции CClfsBaseFilePersisted::WriteMetadataBlock и связана с неотслеживаемым значением возврата ClfsDecodeBlock. Этот сбой может вызвать повреждение данных внутри структуры CLFS и открыть путь для повышения привилегий.
Атака также позволяет злоумышленникам узнать адрес ядра в пуле памяти, что помогает обходить будущие меры защиты, запланированные для версии Windows 11 24H2. Однако на мероприятии TyphoonPWN 2024, где и был представлен proof-of-concept ( PoC ), этот аспект использован не был, так как тестирование проводилось на версии 23H2.
Уязвимость эксплуатирует манипуляции со структурой логов CLFS. В ходе атаки создаётся лог-файл, модифицируются его данные и нарушаются ключевые структуры системы, что позволяет захватить управление на уровне ядра. Отсутствие защиты Supervisor Mode Access Prevention (SMAP) в Windows упрощает злоумышленникам работу с памятью ядра, позволяя менять токены процессов для повышения привилегий.
Пример использования уязвимости, продемонстрированный на TyphoonPWN 2024, показал запуск командной строки с правами SYSTEM, что подтверждает высокий уровень угрозы.
Исследователь, обнаруживший проблему в рамках соревнования, занял первое место. Хотя Microsoft сообщила, что данная уязвимость является дубликатом и уже исправлена, тесты на последней версии Windows 11 показали, что проблема остаётся нерешённой. CVE-идентификатор или информация о патче пока не опубликованы.
Эксперты по кибербезопасности рекомендуют системным администраторам следить за обновлениями от Microsoft и оперативно устанавливать патчи, как только они станут доступны.
- Источник новости
- www.securitylab.ru
