CLFS Flaw in Windows 11 Allows for Privilege Escalation, PoC Published
2024/10/28 SecurityOnline — Windows 11 の CLFS ドライバに発見された深刻度の高い脆弱性は、ローカル攻撃者に対して特権昇格を許すものである。この CLFS (Common Log File System) とは、システムやアプリケーションのログを、イベント追跡やエラー復旧のために効率的に管理/提供するものだ。この、新たに発見された脆弱性は、CClfsBaseFilePersisted::WriteMetadataBlock 関数に存在し、ClfsDecodeBlock 内の未チェックの戻り値に関連するものだ。この不備により、CLFS 構造内のデータが破損し、特権昇格の可能性が生じる。
また、この脆弱性の悪用に成功した攻撃者は、メモリプール内のカーネル・アドレスの特定を可能にし、Windows 11 バージョン 24H2 で予定されている、新たなセキュリティ対策を効果的に回避していく。ただし、TyphoonPWN 2024 で実演された PoC においては、この脆弱性は利用されていない。その理由は、このバグ・バウンティでのテストが、Windows 11 バージョン 23H2 上で実施されたところにある。
この脆弱性の悪用は、CLFS ログ構造の操作により達成される。この攻撃フローの詳細を説明すると、まず、ログ・ファイルが作成され、そのデータが変更され、コアシステム構造が破壊され、カーネル・レベルでの制御が奪われるという順になる。Windows には SMAP (Supervisor Mode Access Prevention) が存在しないため、カーネル・メモリの操作は容易であり、プロセス・トークンを変更する攻撃者は、特権昇格の可能性を手にする。
TyphoonPWN 2024 で実演されたエクスプロイトは、SYSTEM 特権でコマンド・ラインの起動が可能なことを示し、その脅威の深刻さを浮き彫りにしている。
このコンペティションでは、CLFS の脆弱性を特定した研究者が1位を獲得した。この脆弱性のセキュリティ・アドバイザリには、「Microsoft からの回答は、この脆弱性は重複しており、また、すでに修正済みであるというものだった。しかし、Windows 11 の最新バージョンで試したところ、この脆弱性は依然として有効だった。また、CVE は採番されず、パッチ情報は提供されていない」と記載されている。
Windows の CLFS (Common Log File System) の脆弱性により、特権昇格の可能性が生じるとのことです。TyphoonPWN 2024 で実証されたバグであり、現時点では CVE は採番されていないようです。以前に、識者の方から Windows と Linux のカーネル・アクセスについて教えていただいたことがありますが、この SMAP の有無も関連しているのかと思います。よろしければ、Windows + CLFS で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.