-
09/04/2020
-
93
-
600 bài viết
Lỗ hổng CLFS trong Windows 11 cho phép leo thang đặc quyền, đã có PoC
Một lỗ hổng nghiêm trọng đã được phát hiện trong trình điều khiển Common Log File System (CLFS) của Windows 11, cho phép người dùng cục bộ có thể leo thang đặc quyền.
Common Log File System (CLFS) trong Windows là một hệ thống quản lý nhật ký (log) do Microsoft phát triển. Nó giúp theo dõi các sự kiện và hỗ trợ khôi phục khi có lỗi xảy ra, nhờ vào khả năng lưu trữ và truy xuất dữ liệu nhật ký một cách đáng tin cậy.
Lỗ hổng này nằm trong hàm CClfsBaseFilePersisted::WriteMetadataBlock và liên quan đến giá trị trả về chưa được kiểm tra trong ClfsDecodeBlock. Thiếu sót này có thể dẫn đến hỏng dữ liệu trong cấu trúc CLFS, dẫn đến leo thang đặc quyền.
Lỗ hổng được khai thác bằng cách thao túng cấu trúc nhật ký CLFS. Trong quá trình tấn công, một tệp nhật ký được tạo ra, dữ liệu của nó bị thay đổi và các cấu trúc hệ thống cốt lõi bị phá vỡ, cho phép kiểm soát ở cấp độ nhân hệ điều hành. Việc thiếu cơ chế Phòng ngừa Truy cập Chế độ Giám sát (SMAP) trong Windows làm đơn giản hóa việc thao tác bộ nhớ kernel, cho phép kẻ tấn công thay đổi token của quy trình để leo thang đặc quyền.
Khai thác lỗ hổng này còn cho phép kẻ tấn công tiết lộ địa chỉ kernel hệ điều hành trong vùng nhớ, từ đó vượt qua các giải pháp bảo mật mới sắp được triển khai trong phiên bản Windows 11 24H2. Nhưng trong mã khai thác PoC được trình bày tại sự kiện TyphoonPWN 2024, phần này không được chứng minh. Lý do là vì thử nghiệm đó được tiến hành trên phiên bản Windows 11 23H2, nên giải pháp bảo mật của 24H2 chưa có mặt trong phiên bản này.
Mặc dù Microsoft đã báo cáo lỗ hổng này là trùng lặp và tuyên bố đã vá, nhưng các thử nghiệm trên phiên bản Windows 11 mới nhất cho thấy vấn đề vẫn chưa được giải quyết. Mã định danh CVE hoặc thông tin vá lỗi vẫn chưa được công bố.
Common Log File System (CLFS) trong Windows là một hệ thống quản lý nhật ký (log) do Microsoft phát triển. Nó giúp theo dõi các sự kiện và hỗ trợ khôi phục khi có lỗi xảy ra, nhờ vào khả năng lưu trữ và truy xuất dữ liệu nhật ký một cách đáng tin cậy.
Lỗ hổng này nằm trong hàm CClfsBaseFilePersisted::WriteMetadataBlock và liên quan đến giá trị trả về chưa được kiểm tra trong ClfsDecodeBlock. Thiếu sót này có thể dẫn đến hỏng dữ liệu trong cấu trúc CLFS, dẫn đến leo thang đặc quyền.
Lỗ hổng được khai thác bằng cách thao túng cấu trúc nhật ký CLFS. Trong quá trình tấn công, một tệp nhật ký được tạo ra, dữ liệu của nó bị thay đổi và các cấu trúc hệ thống cốt lõi bị phá vỡ, cho phép kiểm soát ở cấp độ nhân hệ điều hành. Việc thiếu cơ chế Phòng ngừa Truy cập Chế độ Giám sát (SMAP) trong Windows làm đơn giản hóa việc thao tác bộ nhớ kernel, cho phép kẻ tấn công thay đổi token của quy trình để leo thang đặc quyền.
Khai thác lỗ hổng này còn cho phép kẻ tấn công tiết lộ địa chỉ kernel hệ điều hành trong vùng nhớ, từ đó vượt qua các giải pháp bảo mật mới sắp được triển khai trong phiên bản Windows 11 24H2. Nhưng trong mã khai thác PoC được trình bày tại sự kiện TyphoonPWN 2024, phần này không được chứng minh. Lý do là vì thử nghiệm đó được tiến hành trên phiên bản Windows 11 23H2, nên giải pháp bảo mật của 24H2 chưa có mặt trong phiên bản này.
Mặc dù Microsoft đã báo cáo lỗ hổng này là trùng lặp và tuyên bố đã vá, nhưng các thử nghiệm trên phiên bản Windows 11 mới nhất cho thấy vấn đề vẫn chưa được giải quyết. Mã định danh CVE hoặc thông tin vá lỗi vẫn chưa được công bố.
Theo Security Online