Windows CLFS のゼロデイ脆弱性:ランサムウェア攻撃者たちに悪用されている

Ransomware Attackers Abuse Multiple Windows CLFS Driver Zero-Days

2023/12/23 GarkReading — この1年半の間に攻撃者たちが悪用したものには、機密性の高いカーネル・レベルの Windows ドライバに存在する、少なくとも5つの脆弱性 (そのうちの4つはゼロデイ) がある。今週に Kaspersky Securelist が発表した一連のレポートでは、これらは単なる一握りのバグではなく、現時点における Windows Common Log File System (CLFS) の実装に関連する、より大規模で体系的な問題であると指摘されている。


CLFS は、ユーザー・モードまたはカーネル・モードのソフトウェア・クライアントで利用可能な、高性能で汎用的なログ・システムである。そのカーネル・アクセスは、低レベルのシステム特権を求めるハッカーにとって極めて有用である。そのパフォーマンス指向の設計は、特に最近のランサムウェア・オペレーターたちが飛びついた、一連のセキュリティ脆弱性を生み出してきた。

Kaspersky の Global Research and Analysis Team の Principal Security Researcher である Boris Larin は、「脆弱性が発見されると、それを悪用してシステム特権を得る攻撃者が現れるため、カーネル・ドライバーがファイルを扱う際には、細心の注意を払う必要がある。Windows CLFS の設計上の決定により、これらの CLFS ファイルのセキュリティ解析はほぼ不可能となり、それにより、膨大な数の同種の脆弱性の発生につながった」と、Dark Reading に語っている。

Windows CLFS の問題点

Win32 カーネル・レベルのゼロデイが、まったく珍しいものではないことは、Larin の研究でも明らかにされている。しかし、彼は、「これほど多くの CLFS ドライバのエクスプロイトが、活発な攻撃に使われている状況を、これまでには見たことがなかったが、わずか1年の間に突然に、膨大な量のエクスプロイトが確認された」と指摘している。CLFS ドライバに、何か深刻な問題があるのだろうか?

2023年に、CLFS ドライバが変更されたことはない。そうではなく、CLFS はパフォーマンスとセキュリティの間のバランスにおいて、パフォーマンスに偏りすぎているという、CLFS ドライバの問題点を、攻撃者たちが突き止めたのだ。 

Larin は、「CLFS ドライバの優先順位付けについて言うなら、おそらくあまりにも “パフォーマンスに最適化” されすぎている。カーネル構造のダンプをファイルに書き出すのではなく、合理的なファイル形式を用意したほうがいいだろう。ポインターを含む、これらのカーネル構造を使った全ての作業は、ディスクから読み込まれたブロックの中で行われる。そこに格納されたブロックとカーネル構造に対して変更が行われ、その変更はディスクにフラッシュされる必要があるため、何かにアクセスする必要があるたびに、コードによるブロック解析が何度も繰り返して行われる」と詳述している。

さらに彼は、「この解析は、すべて相対オフセットを使って行われ、ブロック内の任意の場所を指定できる。これらのオフセットの、いずれかの実行中にメモリー上で破損が生じると、大惨事になる可能性がある。しかし、おそらく最悪なのは、ディスク上の BLF ファイルのオフセットが、異なる構造で重なり合うように操作され、予期せぬ結果を招くことだ」と指摘している。

これらの設計上の選択の総和は、効果的なデータとイベント・ロギングであるが、悪用されやすいバグが、同時にたくさん生じる。2023年だけを見ても、CVE-2022-24521/CVE-2022-37969/CVE-2023-23376/CVE-2023-28252 (いずれも CVSS スコア 7.8 という、高い深刻度を持つ) がゼロデイとして悪用されている。それに加えて、関連する悪意の活動が観測される前にパッチが適用された、5つ目の脆弱性も存在する。Kaspersky は、これら全てが攻撃で悪用されていることを確認している。たとえば、脆弱性 CVE-2023-28252 は、Nokoyawa ランサムウェア・グループに悪用されている。

何らかの再設計がなければ、CLFS はハッカーたちに対して、昇格の機会を提供し続ける可能性がある。Larin は、「このような事態に備えるために、ユーザー組織として注力すべきことを列挙すると、セキュリティ・アップデートの期限内でのインストール/すべてのエンドポイントへのセキュリティ製品のインストール/サーバ・アクセスの制限とサーバから検出されるアンチ・ウイルへの細心の注意/スピア・フィッシングの被害に遭わないための従業員の教育といった、最善のセキュリティ・プラクティスを実施となる」と提言している。

Windows の Common Log File System (CLFS) 実装の問題により、いくつかの脆弱性が問題視されているようです。パフォーマンスとセキュリティのバランスが悪いと、Kaspersky が指摘していますが、この記事を読む限り、その主張に納得してしまいます。ここは、Microsoft に頑張ってもらいたいところですよね。ちょっと古い記事ですが、2022/09/13 には「Microsoft 警告:Windows CLFS 脆弱性 CVE-2022-37969 へのゼロデイ攻撃を検知」がポストされていました。