Cybernews

Cyberekspert

Kampanie

Sklep

Menu dostępności

Błąd w zabezpieczeniach sterownika CLFS systemu Windows 11

Błąd w zabezpieczeniach sterownika CLFS systemu Windows 11 umożliwia przeprowadzenie lokalnej eskalacji uprawnień (LPE). Jest PoC

Kapitan Hack / Cybernews / Błąd w zabezpieczeniach sterownika CLFS systemu Windows 11 umożliwia przeprowadzenie lokalnej eskalacji uprawnień (LPE). Jest PoC

W systemie Windows 11 odkryto poważną lukę w zabezpieczeniach sterownika Common Log File System (CLFS), stanowiącą duże zagrożenie dla bezpieczeństwa. Pozwala ona użytkownikom lokalnym na uzyskanie podwyższonych uprawnień (eskalacja LPE), co umożliwia dostęp do dodatkowych funkcji systemowych.

Autor: 5 min czytania

Wykorzystując podatność, atakujący mogą manipulować systemem, co potencjalnie prowadzi do przejęcia kontroli nad urządzeniem, uzyskania dostępu do wrażliwych danych, a nawet instalacji złośliwego oprogramowania.

Krótko o CLFS

System Common Log File System (CLFS) w Windows zarządza plikami dziennika i strukturami pamięci, zapewniając przy tym ochronę przed ujawnieniem poufnych informacji, takich jak adresy jądra.

Szczegóły luki w CLFS

Luka została zidentyfikowana przez niezależnego badacza ds. bezpieczeństwa, który za swoje odkrycie zdobył pierwsze miejsce na TyphoonPWN 2024.

Podatność dotyczy procesów kodowania i dekodowania, które obsługują bloki metadanych w CLFS, umożliwiając atakującym ingerencję w strukturę systemu.

Związana jest z funkcją CClfsBaseFilePersisted::WriteMetadataBlock i wynika z braku odpowiedniej weryfikacji wartości zwracanej przez ClfsDecodeBlock. To niedopatrzenie umożliwia atakującym manipulację wewnętrznymi strukturami systemu Common Log File System (CLFS), co potencjalnie prowadzi do eskalacji uprawnień w systemie operacyjnym.

Dodatkowo luka ta może być wykorzystana do wycieku adresów z puli jądra, co umożliwia obejście niektórych zabezpieczeń wprowadzonych w wersji Windows 11 24H2. Jednak w dowodzie koncepcji (PoC) zaprezentowanym na konkursie TyphoonPWN 2024 nie zastosowano tej techniki, ponieważ PoC skierowany jest na wersję Windows 11 23H2.

Testy przeprowadzone na najnowszej wersji systemu Windows 11 potwierdzają, że podatność nadal istnieje. Do tej pory nie przydzielono jej numeru CVE ani nie opublikowano szczegółowych informacji dotyczących poprawki, co pozostawia użytkowników narażonych na potencjalne zagrożenia.

Jak wygląda eksploitacja luki?

Przez manipulację procesami CClfsBaseFilePersisted::WriteMetadataBlock, które zarządzają blokami metadanych, atakujący mogą uszkodzić kluczowe dane wewnątrz struktury CLFS. W rezultacie są w stanie uzyskać eskalację uprawnień, co daje dostęp do bardziej wrażliwych funkcji systemu operacyjnego.

Atakujący mogą wywołać tę lukę poprzez nakładanie specjalnie skonstruowanych struktur kontenerów i klientów w CLFS, co prowadzi do błędnego zarządzania pamięcią. Błąd ten może ostatecznie prowadzić do przepełnienia bufora lub wycieku adresów puli jądra.

Proces eksploatacji podatności przebiega w kilku krokach:

  1. Tworzenie pliku dziennika i dodanie kontenerów. Atakujący inicjują proces, tworząc plik dziennika CLFS i dodając specjalnie spreparowane kontenery.
  2. Manipulacja strukturami plików. Przez modyfikację znaczników sektorów, atakujący uzyskuje kontrolę nad strukturą danych w pliku dziennika.
  3. Przygotowanie fałszywej struktury CClfsContainer. W przestrzeni użytkownika atakujący tworzy fałszywą strukturę CClfsContainer, co umożliwia omijanie systemowych zabezpieczeń.
  4. Wyciek informacji systemowych. Eksploit pozwala na wyciek adresów jądra i informacji o wątkach procesów, co ułatwia dalsze etapy ataku.
  5. Modyfikacja ustawień systemowych. Przeprowadza się zmiany, które pozwalają na ominięcie mechanizmów kontroli bezpieczeństwa i eskalację uprawnień.

Po pomyślnym wykorzystaniu podatności atakujący może wykonywać działania z podwyższonymi uprawnieniami, w tym tworzyć procesy na prawach administratora, co znacząco zwiększa potencjalne zagrożenie.

Podsumowanie

Ta krytyczna luka w zabezpieczeniach sterownika CLFS w Windows 11 uwypukla poważne problemy związane z bezpieczeństwem systemu. Użytkownikom zaleca się natychmiastowe zastosowanie wszelkich dostępnych aktualizacji Microsoftu, aby ograniczyć ryzyko wykorzystania podatności.

Po zgłoszeniu problemu Microsoft poinformował, że luka została już naprawiona jako duplikat zgłoszenia. Niemniej badacze donoszą, że exploit nadal działa w najnowszej wersji Windows 11. Do tej pory firma nie opublikowała numeru CVE ani szczegółów dotyczących poprawki.

Zagrożenie to jest szczególnie niebezpieczne, ponieważ dotyczy popularnej wersji systemu operacyjnego, używanej przez miliony użytkowników na całym świecie. Microsoft pracuje obecnie nad odpowiednią aktualizacją zabezpieczeń, która ma na celu zamknięcie tej luki i ochronę użytkowników przed potencjalnymi atakami. Do czasu wydania poprawki zaleca się ostrożność i stosowanie środków bezpieczeństwa, które mogą zminimalizować ryzyko wykorzystania tej podatności.

Popularne

Masowy wyciek danych PayPal – 15,8 miliona haseł w rękach cyberprzestępców

Masowy wyciek danych PayPal – 15,8 miliona haseł w rękach cyberprzestępców

16 sierpnia br. na forum cyberprzestępczym pojawiła się oferta sprzedaży ogromnej bazy danych, zawierającej ponad 15,8 miliona par adresów e-mail i haseł w formacie jawnego tekstu powiązanych z konta...
4 min czytania 20 sie 2025 08:00
Groźna dziura w Microsoft IIS. Deserializacja usług może prowadzić do zdalnego wykonania kodu

Groźna dziura w Microsoft IIS. Deserializacja usług może prowadzić do zdalnego wykonania kodu

W połowie sierpnia 2025 roku ujawniono poważną lukę bezpieczeństwa w narzędziu Microsoft Web Deploy 4.0, używanym do publikacji aplikacji webowych na serwerach IIS. Luka – oznaczona jako CVE-2025-53772 – pozwal...
4 min czytania 19 sie 2025 06:58
Wyciek kodu źródłowego trojana bankowego ERMAC V3.0

Wyciek kodu źródłowego trojana bankowego ERMAC V3.0

Świat cyberbezpieczeństwa odnotował kolejne znaczące wydarzenie – ujawniono pełny kod źródłowy zaawansowanego trojana bankowego ERMAC V3.0, stworzonego z myślą o urządzeniach z systemem Android i działające...
3 min czytania wczoraj
Miliony laptopów Dell narażone na kompromitację

Miliony laptopów Dell narażone na kompromitację

Niedawno pisaliśmy o kłopotach Lenovo, dzisiaj czas na Dell. Okazuje się, że pięć luk w oprogramowaniu ControlVault3 i powiązanych interfejsach API systemu Windows naraża miliony laptopów na trwałe w...
3 min czytania 9 sie 2025 06:13
Co sprawia, że Deep Web jest cennym źródłem threat intelligence?

Co sprawia, że Deep Web jest cennym źródłem threat intelligence?

Deep Web, czyli warstwa Internetu niedostępna dla standardowych wyszukiwarek, często bywa pomijana w analizach bezpieczeństwa, mimo że stanowi niezwykle wartościowe źródło informacji o zagrożeniach. Jej tre...
5 min czytania 15 sie 2025 06:53
Popularne
Masowy wyciek danych PayPal – 15,8 miliona haseł w rękach cyberprzestępców
Groźna dziura w Microsoft IIS. Deserializacja usług może prowadzić do zdalnego wykonania kodu
Wyciek kodu źródłowego trojana bankowego ERMAC V3.0
Miliony laptopów Dell narażone na kompromitację
Co sprawia, że Deep Web jest cennym źródłem threat intelligence?
Od 2016 roku tworzymy zaawansowane rozwiązania IT. Setki wdrożeń i lata doświadczenia pozwalają nam projektować systemy i oferować usługi, które odpowiadają na potrzeby najbardziej wymagających Klientów.
Appeal

Ta strona korzysta z ciasteczek aby świadczyć usługi na najwyższym poziomie. Dalsze korzystanie ze strony oznacza, że zgadzasz się na ich użycie.