Windows 11 CLFS 驱动程序漏洞允许攻击者提升权限:PoC 漏洞已发布

admin 2024年10月28日13:25:56评论16 views字数 871阅读2分54秒阅读模式

Windows 11 CLFS 驱动程序漏洞允许攻击者提升权限:PoC 漏洞已发布

Windows 11 的通用日志文件系统 (CLFS) 驱动程序中发现了一个严重漏洞。此漏洞使本地用户能够通过利用系统内的特定功能来获得提升的权限。

问题在于函数中,没有正确检查CClfsBaseFilePersisted::WriteMetadataBlock返回值。ClfsDecodeBlock

这种疏忽使得攻击者能够破坏内部 CLFS 结构,从而可能导致权限提升。

此外,该漏洞可用于泄露内核池地址,从而绕过针对 Windows 11 24H2 计划的某些缓解措施。

然而,TyphoonPWN 2024 的概念验证 (PoC) 并不采用这种方法,因为它的目标是 Windows 11 23H2。

一位独立安全研究人员发现了该漏洞,并在 TyphoonPWN 2024 中获得第一名。在最新版本的 Windows 11 上进行的测试表明该漏洞仍然存在。尚未提供 CVE 编号或补丁详细信息。

漏洞利用过程

CLFS 系统管理日志文件和结构,而不会暴露内核地址等敏感数据。该漏洞利用管理元数据块的编码和解码过程。

通过操纵这些进程,攻击者可以通过破坏CLFS结构中的重要数据来实现权限提升。

攻击者可以通过重叠 CLFS 系统内的容器和客户端结构来触发此漏洞。

这涉及创建日志文件并直接修改其结构以操作校验和和编码标签。

该漏洞涉及几个步骤:

  • 创建日志文件并添加容器。

  • 操纵文件结构来控制扇区标签。

  • CClfsContainer在用户空间准备一个虚假的结构。

  • 泄露内核地址、进程线程等系统信息。

  • 更改系统设置以绕过安全检查并提升权限。

一旦成功利用,攻击者可以在系统上执行特权操作,例如生成具有提升权限的进程。

此漏洞凸显了 Windows 11 CLFS 驱动程序中存在重大安全问题。建议用户保持警惕并应用 Microsoft 提供的任何可用更新以降低潜在风险。

当联系到微软时,微软表示该漏洞是重复的并且已经得到解决。

然而,研究人员报告称,该漏洞仍然适用于最新版本的 Windows 11。该公司尚未提供 CVE 编号或补丁信息。

原文始发于微信公众号(河南等级保护测评):Windows 11 CLFS 驱动程序漏洞允许攻击者提升权限:PoC 漏洞已发布

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月28日13:25:56
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Windows 11 CLFS 驱动程序漏洞允许攻击者提升权限:PoC 漏洞已发布https://cn-sec.com/archives/3319649.html

发表评论

匿名网友 填写信息