发布于2022年10月16日3年前 有关 Windows 通用日志文件系统 (CLFS) 中现已修补的安全漏洞的详细信息已出现,攻击者可利用该漏洞在受感染机器上获得提升的权限。 跟踪为CVE-2022-37969(CVSS 评分:7.8),该问题已由 Microsoft 作为其 2022 年 9 月补丁星期二更新的一部分解决,同时还指出它正在被广泛利用。 “攻击者必须已经拥有访问权限并能够在目标系统上运行代码,”该公司在其咨询中指出。“如果攻击者在目标系统上还没有这种能力,这种技术不允许远程执行代码。” 它还赞扬了来自 CrowdStrike、DBAPPSecurity、Mandiant 和 Zscaler 的研究人员报告了该漏洞,而没有深入研究有关攻击性质的其他细节。 现在,Zscaler ThreatLabz 研究团队透露,它在 2022 年 9 月 2 日捕获了当时的零日漏洞。 “该漏洞的原因是由于缺乏对 CLFS.sys 中基本日志文件 (BLF) 的基本记录头中的字段 cbSymbolZone 的严格边界检查,”这家网络安全公司在与共享的根本原因分析中表示。黑客新闻。 “如果字段 cbSymbolZone 设置为无效偏移量,则会在无效偏移量处发生越界写入。” CLFS 是一种通用日志服务,可供在用户模式或内核模式下运行的软件应用程序用于记录数据和事件并优化日志访问。 与 CLFS 相关的一些用例包括在线事务处理 (OLTP)、网络事件日志记录、合规性审计和威胁分析。 根据 Zscaler 的说法,该漏洞源于一个名为基本记录的元数据块,该元数据块存在于基本日志文件中,该数据块是在使用 CreateLogFile() 函数创建日志文件时生成的。 Crowdstrike 的首席架构师Alex Ionescu表示: “[基本记录] 包含存储与基本日志文件相关的各种客户端、容器和安全上下文的信息的符号表,以及有关这些信息的记帐信息。” 因此,通过特制的基本日志文件成功利用 CVE-2022-37969 可能会导致内存损坏,进而以可靠的方式引发系统崩溃(又名蓝屏死机或BSoD)。 也就是说,系统崩溃只是利用漏洞产生的结果之一,因为它也可以被武器化以实现特权升级。 Zscaler 进一步提供了概念验证 (PoC) 指令来触发安全漏洞,这使得 Windows 用户升级到最新版本以减轻潜在威胁至关重要。
