Windows 11 CLFS ranjivost

Ranjivost zajedničkog sistema datoteka evidencije (eng. Common Log File System – CLFS), identifikovana od strane nezavisnog sigurnosnog istraživača, je kritična ranjivost otkrivena u operativnom sistemu Windows 11, a posebno utiče na verziju 24H2. Ova ranjivost omogućava lokalnim korisnicima da eskaliraju privilegije unutar sistema, što potencijalno dovodi do ozbiljnih bezbjednosnih rizika.

CLFS

Windows 11 CLFS ranjivost; Source: Bing Image Creator

WINDOWS 11 CLFS

Zajednički sistem datoteka evidencije (CLFS) je Windows usluga koja se koristi za efikasno i pouzdano evidentiranje, koju koriste aplikacije i sistem za praćenje događaja i oporavak od grešaka. Omogućava različitim komponentama da upisuju podatke dnevnika u strukturiranom formatu koji se može lako analizirati. Međutim, postoji kritična bezbjednosna ranjivost u CLFS upravljačkom softveru (eng. driver) za Windows 11, koja bi potencijalno mogla da omogući lokalnim korisnicima da steknu povišene privilegije manipulisanjem strukturom datoteka i iskorišćavanjem neprovjerenih uslova unutar sistema.

 

Ranjivost

Osnovni uzrok ranjivosti zajedničkog sistema datoteka evidencije (CLFS) leži u neprovjerenoj povratnoj vrijednosti u ClfsDecodeBlock, što može dovesti do oštećenja podataka unutar strukture zajedničkog sistema datoteka evidencije (CLFS). Ova korupcija stvara put za eskalaciju privilegija omogućavajući zlonamjernim akterima da steknu kontrolu na nivou sistemskog jezgra (eng. kernel).

Proces eksploatacije počinje kada zlonamjerni akteri kreiraju datoteku evidencije u sistemu, koja služi kao osnova za njihove napore manipulacije. Zatim dodaju neophodne kontejnere u ovu datoteku evidencije da bi olakšali dalje izmjene. Direktnom modifikacijom strukture ovih datoteka evidencije, zlonamjerni akteri mogu da manipulišu kontrolnim sumama i oznakama za kôdiranje koje su povezane sa svakim kontejnerom u strukturi zajedničkog sistema datoteka evidencije (CLFS). Ovo im omogućava da zaobiđu bezbjednosne provjere i dobiju neovlašteni pristup osjetljivim podacima unutar sistema.

Uz kontrolu nad strukturom datoteke evidencije, zlonamjerni akteri mogu pripremiti lažnu CClfsContainer strukturu u korisničkom prostoru zbog odsustva prevencije pristupa u režimu nadzora (eng. Supervisor Mode Access Prevention – SMAP) u Windows operativnom sistemu. Ovo im omogućava da manipulišu memorijom sistemskog jezgra i izvršavaju radnje koje bi obično zahtijevale povišene privilegije. Iskorišćavanjem ove ranjivosti, zlonamjerni akteri mogu da procure osjetljive informacije iz memorijskog bazena sistema, uključujući adrese jezgra i aktivne niti procesa. Ovi podaci se mogu koristiti za dalje usavršavanje njihovih napada ili sticanje dodatnih uvida u ciljni sistem.

Sa pristupom kritičnim sistemskim informacijama, zlonamjerni akteri mogu da modifikuju različita podešavanja u okviru operativnog sistema kako bi zaobišli postojeće mjere bezbjednosti i podigli sopstvene privilegije na pogođenom uređaju. Jednom kada se uspješno iskoriste, zlonamjerni akteri mogu da obavljaju privilegovane radnje kao što su pokretanja procesa sa povišenim dozvolama.

Važno je napomenuti da ova ranjivost omogućava lokalnim korisnicima da steknu povišene privilegije iskorišćavanjem određene funkcije unutar sistema. Problem se nalazi u CClfsBaseFilePersisted::WriteMetadataBlock, gdje povratna vrijednost ClfsDecodeBlock nije ispravno pronevjerena. Ovaj nadzor omogućava zlonamjernim akterima da korumpiraju unutrašnje strukture sistema datoteka evidencije (CLFS), što potencijalno dovodi do eskalacije privilegija.

Pored toga, ranjivost se može koristiti za curenje adrese baze sistemskog jezgra, zaobilazeći određena ublažavanja planirana za Windows 11 verziju 24H2.

 

TyphoonPWN 2024 događaj

Ova ranjivost je identifikovana od strane nezavisnog sigurnosnih istraživača koji je osvojio prvo mjesto na TyphoonPWN 2024 takmičenju za sajber bezbjednost fokusiranom na otkrivanje i demonstriranje ranjivosti nultog dana (eng. zero-day) u popularnim softverskim proizvodima. Treba napomenuti da dokaz koncepta (eng. proof-of-concept – PoC) predstavljen tokom TyphoonPWN 2024 takmičenja nije koristio ovu metodu, jer je ciljao na Windows 11 verziju 23H2.

Iako je kompanija Microsoft prijavila ovu ranjivost kao duplikat i tvrdila da je ispravljena, testovi na najnovijoj verziji operativnog sistema Windows 11 pokazuju da problem ostaje neriješen. CVE identifikator ili informacije o ispravci tek treba da budu objavljeni.

 

ZAKLJUČAK

Ranjivost zajedničkog sistema datoteka evidencije (CLFS) predstavlja značajnu prijetnju za Windows sisteme zbog svoje sposobnosti da korumpira podatke unutar strukture sistema datoteka evidencije (CLFS) i omogući eskalaciju privilegija kroz različite korake.

Posljedice ove ranjivosti su dalekosežne i alarmantne, jer pruža zlonamjernim akterima sredstva za eskalaciju privilegija i sticanje kontrole na nivou sistemskog jezgra. Ova kontrola im omogućava da zaobiđu predstojeće bezbjednosne mjere planirane za Windows 11 verziju 24H2 i potencijalno otkriju adresu sistemskog jezgra u okviru memorijskog skupa.

Od ključne je važnosti za kompaniju Microsoft i sajber bezbjednosnu zajednicu da se brzo pozabave ovom ranjivošću kako bi se smanjila potencijalna šteta i osigurala kontinuirana bezbjednost sistema korisnika. Administratorima sistema se savjetuje da primjene ispravke čim postanu dostupne kako bi efikasno umanjili ovaj rizik.

 

ZAŠTITA

Imajući u vidu ranjivost zajedničkog sistema datoteka evidencije (CLFS) u Windows 11 operativnom sistemu, od ključne je važnosti da korisnici preduzmu neophodne mjere predostrožnosti kako bi zaštitili svoje sisteme. Evo nekoliko preporuka i najboljih praksi koje mogu pomoći u ublažavanju potencijalnih rizika:

  1. Iako je kompanija Microsoft priznala da je ranjivost dupli problem i tvrdi da je riješen, bitno je osigurati da sistem pokreće najnovija Microsoft ažuriranja. Ovo neće riješiti samo ovu specifičnu ranjivost zajedničkog sistema datoteka evidencije (CLFS), već i druga bezbjednosna pitanja koja se mogu pojaviti u budućnosti,
  2. Windows 11 podrazumijevano radi sa funkcijom kontrole korisničkog naloga (eng. user account control – UAC) koja ograničava korisnike da unose promjene u sistemske postavke bez administrativnih privilegija. Međutim, preporučljivo je ograničiti korisničke naloge na standardne korisničke nivoe i odobriti administratorski pristup samo kada je to potrebno. Ovo će pomoći da se spriječi neovlaštena eskalacija privilegija u slučaju da napadač uspije da iskoristi ranjivost zajedničkog sistema datoteka evidencije (CLFS),
  3. Primijeniti jake mjere kontrole pristupa na sistemu, obezbeđujući da osjetljive datoteke i direktorijumi budu zaštićeni odgovarajućim dozvolama. Ovo se može postići korišćenjem alata kao što je Windows zaštita datoteka (eng. Windows File Protection – WFP) ili BitLocker rješenja za šifrovanje i zaštitu kritičnih podataka,
  4. Redovno praćenje sistemskih evidencija, posebno onih koji se odnose na upravljački softver zajedničkog sistema datoteka evidencije (CLFS), je od suštinskog značaja za rano otkrivanje bilo kakvih sumnjivih aktivnosti. Ovo može pomoći u identifikaciji potencijalnih eksploatacija pre nego što izazovu značajnu štetu. Alati kao što je Event Viewer u Windows operativnom sistemu mogu se koristiti za ovu svrhu,
  5. Biti oprezan prilikom preuzimanja i instaliranja softvera iz neprovjerenih izvora, jer oni mogu sadržati zlonamjerni kôd dizajniran da iskorišćava ranjivosti kao što je ranjivost zajedničkog sistema datoteka evidencije (CLFS). Uvijek provjeriti autentičnost softvera pre instalacije i razmislite o korišćenju renomiranih antivirusnih rješenja za dodatnu zaštitu,
  6. Primijeniti strategije segmentacije mreže da bi se izolovali kritični sistemi od manje bezbjednih na mreži. Ovo će pomoći da se obuzdaju svi potencijalni napadi i spriječe njihovo širenje na čitavu infrastrukturu,
  7. Obrazovati korisnike o rizicima povezanim sa klikom na sumnjive veze, otvaranjem priloga elektronske pošte ili preuzimanjem neprovjerenog softvera. Podsticati kulturu budnosti među svim korisnicima sistema kako bi se smanjile šanse da zlonamjerni akter uspješno iskoristi ranjivost zajedničkog sistema datoteka evidencije (CLFS),
  8. Redovno praviti rezervne kopije kritičnih podataka i uvjeriti se da se rezervne kopije čuvaju bezbjedno van mreže ili na zasebnom segmentu mreže. U slučaju uspješnog napada, posjedovanje nedavnih rezervnih kopija može pomoći da se sistem brzo vrati u prethodno stanje bez gubitka vrijednih podataka,

Prateći ove preporuke, korisnici i organizacije mogu značajno smanjiti rizik od zlonamjernih aktera koji bi mogli iskoristiti ranjivost zajedničkog sistema datoteka evidencije (CLFS) u Windows 11 operativnom sistemu.

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.