Błąd w zabezpieczeniach sterownika CLFS systemu Windows 11 umożliwia przeprowadzenie lokalnej eskalacji uprawnień (LPE). Jest PoC

Wykorzystując podatność, atakujący mogą manipulować systemem, co potencjalnie prowadzi do przejęcia kontroli nad urządzeniem, uzyskania dostępu do wrażliwych danych, a nawet instalacji złośliwego oprogramowania.

Krótko o CLFS

System Common Log File System (CLFS) w Windows zarządza plikami dziennika i strukturami pamięci, zapewniając przy tym ochronę przed ujawnieniem poufnych informacji, takich jak adresy jądra.

Szczegóły luki w CLFS

Luka została zidentyfikowana przez niezależnego badacza ds. bezpieczeństwa, który za swoje odkrycie zdobył pierwsze miejsce na TyphoonPWN 2024.

Podatność dotyczy procesów kodowania i dekodowania, które obsługują bloki metadanych w CLFS, umożliwiając atakującym ingerencję w strukturę systemu.

Związana jest z funkcją CClfsBaseFilePersisted::WriteMetadataBlock i wynika z braku odpowiedniej weryfikacji wartości zwracanej przez ClfsDecodeBlock. To niedopatrzenie umożliwia atakującym manipulację wewnętrznymi strukturami systemu Common Log File System (CLFS), co potencjalnie prowadzi do eskalacji uprawnień w systemie operacyjnym.

Dodatkowo luka ta może być wykorzystana do wycieku adresów z puli jądra, co umożliwia obejście niektórych zabezpieczeń wprowadzonych w wersji Windows 11 24H2. Jednak w dowodzie koncepcji (PoC) zaprezentowanym na konkursie TyphoonPWN 2024 nie zastosowano tej techniki, ponieważ PoC skierowany jest na wersję Windows 11 23H2.

Testy przeprowadzone na najnowszej wersji systemu Windows 11 potwierdzają, że podatność nadal istnieje. Do tej pory nie przydzielono jej numeru CVE ani nie opublikowano szczegółowych informacji dotyczących poprawki, co pozostawia użytkowników narażonych na potencjalne zagrożenia.

Jak wygląda eksploitacja luki?

Przez manipulację procesami CClfsBaseFilePersisted::WriteMetadataBlock, które zarządzają blokami metadanych, atakujący mogą uszkodzić kluczowe dane wewnątrz struktury CLFS. W rezultacie są w stanie uzyskać eskalację uprawnień, co daje dostęp do bardziej wrażliwych funkcji systemu operacyjnego.

Atakujący mogą wywołać tę lukę poprzez nakładanie specjalnie skonstruowanych struktur kontenerów i klientów w CLFS, co prowadzi do błędnego zarządzania pamięcią. Błąd ten może ostatecznie prowadzić do przepełnienia bufora lub wycieku adresów puli jądra.

Proces eksploatacji podatności przebiega w kilku krokach:

1. Tworzenie pliku dziennika i dodanie kontenerów. Atakujący inicjują proces, tworząc plik dziennika CLFS i dodając specjalnie spreparowane kontenery.
2. Manipulacja strukturami plików. Przez modyfikację znaczników sektorów, atakujący uzyskuje kontrolę nad strukturą danych w pliku dziennika.
3. Przygotowanie fałszywej struktury CClfsContainer. W przestrzeni użytkownika atakujący tworzy fałszywą strukturę CClfsContainer, co umożliwia omijanie systemowych zabezpieczeń.
4. Wyciek informacji systemowych. Eksploit pozwala na wyciek adresów jądra i informacji o wątkach procesów, co ułatwia dalsze etapy ataku.
5. Modyfikacja ustawień systemowych. Przeprowadza się zmiany, które pozwalają na ominięcie mechanizmów kontroli bezpieczeństwa i eskalację uprawnień.

Po pomyślnym wykorzystaniu podatności atakujący może wykonywać działania z podwyższonymi uprawnieniami, w tym tworzyć procesy na prawach administratora, co znacząco zwiększa potencjalne zagrożenie.

Podsumowanie

Ta krytyczna luka w zabezpieczeniach sterownika CLFS w Windows 11 uwypukla poważne problemy związane z bezpieczeństwem systemu. Użytkownikom zaleca się natychmiastowe zastosowanie wszelkich dostępnych aktualizacji Microsoftu, aby ograniczyć ryzyko wykorzystania podatności.

Po zgłoszeniu problemu Microsoft poinformował, że luka została już naprawiona jako duplikat zgłoszenia. Niemniej badacze donoszą, że exploit nadal działa w najnowszej wersji Windows 11. Do tej pory firma nie opublikowała numeru CVE ani szczegółów dotyczących poprawki.

Zagrożenie to jest szczególnie niebezpieczne, ponieważ dotyczy popularnej wersji systemu operacyjnego, używanej przez miliony użytkowników na całym świecie. Microsoft pracuje obecnie nad odpowiednią aktualizacją zabezpieczeń, która ma na celu zamknięcie tej luki i ochronę użytkowników przed potencjalnymi atakami. Do czasu wydania poprawki zaleca się ostrożność i stosowanie środków bezpieczeństwa, które mogą zminimalizować ryzyko wykorzystania tej podatności.