Windows CLFS 驱动的多个 0day 漏洞遭利用

上周，卡巴斯基旗下 Secrelist 发布一系列报告，不仅列出了几个bug，而且还列出了 Windows Common Log File System (CLFS) 中更为系统的一个问题。

CLFS 是一款高性能的通用日志系统，用于用户模式或内核模式下的软件客户端。它的内核访问权限对于查找低级别系统权限的黑客而言非常有用，而其以性能为本的设计则在近年来留下一系列安全漏洞，让勒索团伙一拥而上。

卡巴斯基全球研究和分析团队的首席安全研究员 Boris Larin 提到，“内核驱动在处理文件时应当非常谨慎，因为如发现漏洞，则可被攻击者利用并获取系统权限。”遗憾的是，“Windows CLFS 中的设计决策使得安全解析这些CLFS 文件几乎不可能，从而导致大量类似漏洞出现。”

Windows CLFS 的问题

Larin 在研究中提到Win32k级别的 0day 漏洞并不太罕见。不过他写道，“我们此前从未见到如此多的 CLFS 驱动利用被用于活跃攻击中，仅在一年时间就突然捕获到如此多的利用。CLFS 驱动是不是出什么大问题了？”

实际上，今年CLFS 驱动并未发生什么变化。而是攻击者似乎刚刚发现出错之处：它在性能和安全性之间的无可避免的永恒的平衡上向左倾斜得太多了。

Larin 写道，“CLFS 可能太过于追求‘性能优化’了”，他详细说明了驱动将性能作为优先考虑的多种方法，“在文件中写入合理的文件格式而不是内核框架转储更好。这些内核框架（带有指针）的所有工作就发生在从磁盘读取的块中。因为块发生了变化，内核结构存储在那里，而这些变化需要闪存到磁盘，代码会在每次需要访问的时候重复解析这些块。”

他还指出，“所有的解析都是使用相对偏移完成的，可指向块中的任何位置。如果其中的一个偏移在执行过程中在内存中损坏，则后果是灾难性的。但最糟糕的可能是磁盘上 BLF 文件中的偏移可以这种方式操纵：不同的结构重叠，导致不可预测的后果。”

所有这些设计选择的总和就是有效的数据和事件记录，但也有很多可轻松利用的bug。单在2023年，就有全部为高危且CVSS评分为7.8的漏洞CVE-2022-24521、CVE-2022-37969、CVE-2023-23376和CVE-2023-28252被用作 0day，而且还有另外一个漏洞在相关恶意活动在野出现之前被修复。所有这些漏洞均被攻击者利用，如 Nokoyawa 勒索团伙利用了CVE-2023-28252。

如果不进行重新设计，CLFS 可能会继续为黑客提供提权机会。为此，Larin 建议，“组织机构应当把重心放在执行最佳安全实践上：总是及时安装安全更新、在所有端点上安装安全产品、限制对服务器的访问权限和密切关注来自服务器的反病毒检测，以及培训员工免遭鱼叉式钓鱼攻击。”