Защита ядра оказалась бессильной перед новым PoC-эксплойтом.
В операционной системе Windows 11 обнаружена критическая уязвимость в драйвере Common Log File System (CLFS), позволяющая локальным пользователям повышать свои привилегии. CLFS отвечает за эффективное ведение системных и прикладных журналов для отслеживания событий и восстановления после ошибок.
Уязвимость выявлена в функции CClfsBaseFilePersisted::WriteMetadataBlock и связана с неотслеживаемым значением возврата ClfsDecodeBlock. Этот сбой может вызвать повреждение данных внутри структуры CLFS и открыть путь для повышения привилегий.
Атака также позволяет злоумышленникам узнать адрес ядра в пуле памяти, что помогает обходить будущие меры защиты, запланированные для версии Windows 11 24H2. Однако на мероприятии TyphoonPWN 2024, где и был представлен proof-of-concept (PoC), этот аспект использован не был, так как тестирование проводилось на версии 23H2.
Уязвимость эксплуатирует манипуляции со структурой логов CLFS. В ходе атаки создаётся лог-файл, модифицируются его данные и нарушаются ключевые структуры системы, что позволяет захватить управление на уровне ядра. Отсутствие защиты Supervisor Mode Access Prevention (SMAP) в Windows упрощает злоумышленникам работу с памятью ядра, позволяя менять токены процессов для повышения привилегий.
Пример использования уязвимости, продемонстрированный на TyphoonPWN 2024, показал запуск командной строки с правами SYSTEM, что подтверждает высокий уровень угрозы.
Исследователь, обнаруживший проблему в рамках соревнования, занял первое место. Хотя Microsoft сообщила, что данная уязвимость является дубликатом и уже исправлена, тесты на последней версии Windows 11 показали, что проблема остаётся нерешённой. CVE-идентификатор или информация о патче пока не опубликованы.
Эксперты по кибербезопасности рекомендуют системным администраторам следить за обновлениями от Microsoft и оперативно устанавливать патчи, как только они станут доступны.
Уязвимость выявлена в функции CClfsBaseFilePersisted::WriteMetadataBlock и связана с неотслеживаемым значением возврата ClfsDecodeBlock. Этот сбой может вызвать повреждение данных внутри структуры CLFS и открыть путь для повышения привилегий.
Атака также позволяет злоумышленникам узнать адрес ядра в пуле памяти, что помогает обходить будущие меры защиты, запланированные для версии Windows 11 24H2. Однако на мероприятии TyphoonPWN 2024, где и был представлен proof-of-concept (PoC), этот аспект использован не был, так как тестирование проводилось на версии 23H2.
Уязвимость эксплуатирует манипуляции со структурой логов CLFS. В ходе атаки создаётся лог-файл, модифицируются его данные и нарушаются ключевые структуры системы, что позволяет захватить управление на уровне ядра. Отсутствие защиты Supervisor Mode Access Prevention (SMAP) в Windows упрощает злоумышленникам работу с памятью ядра, позволяя менять токены процессов для повышения привилегий.
Пример использования уязвимости, продемонстрированный на TyphoonPWN 2024, показал запуск командной строки с правами SYSTEM, что подтверждает высокий уровень угрозы.
Исследователь, обнаруживший проблему в рамках соревнования, занял первое место. Хотя Microsoft сообщила, что данная уязвимость является дубликатом и уже исправлена, тесты на последней версии Windows 11 показали, что проблема остаётся нерешённой. CVE-идентификатор или информация о патче пока не опубликованы.
Эксперты по кибербезопасности рекомендуют системным администраторам следить за обновлениями от Microsoft и оперативно устанавливать патчи, как только они станут доступны.