In den letzten anderthalb Jahren haben Angreifer mindestens fünf Schwachstellen – darunter vier Zero-Day-Schwachstellen – in einem sensiblen Windows-Treiber auf Kernel-Ebene ausgenutzt.
Eine Reihe von Berichten Der diese Woche von Kaspersky’s Securelist veröffentlichte Fehler weist nicht nur auf eine Handvoll Fehler hin, sondern auf ein größeres, systemischeres Problem in der aktuellen Implementierung des Windows Common Log File System (CLFS).
CLFS ist ein leistungsstarkes Allzweck-Protokollierungssystem, das für Software-Clients im Benutzer- oder Kernelmodus verfügbar ist. Sein Kernel-Zugriff macht es äußerst nützlich für Hacker, die auf der Suche nach Systemprivilegien auf niedriger Ebene sind, und sein leistungsorientiertes Design hat in den letzten Jahren eine Reihe von Sicherheitslücken hinterlassen, auf die sich vor allem Ransomware-Akteure gestürzt haben.
„Kernel-Treiber sollten beim Umgang mit Dateien sehr vorsichtig sein, denn wenn eine Schwachstelle entdeckt wird, können Angreifer diese ausnutzen und Systemprivilegien erlangen“, sagt Boris Larin, leitender Sicherheitsforscher im Global Research and Analysis Team von Kaspersky, gegenüber Dark Reading. Leider „haben Designentscheidungen in Windows CLFS es nahezu unmöglich gemacht, diese CLFS-Dateien sicher zu analysieren, was zur Entstehung einer großen Anzahl ähnlicher Schwachstellen geführt hat.“
Das Problem mit Windows CLFS
Zero-Days auf Win32k-Ebene seien keine völlige Seltenheit, räumte Larin in seiner Recherche ein. Er schrieb jedoch: „Wir hatten noch nie zuvor so viele CLFS-Treiber-Exploits gesehen, die bei aktiven Angriffen eingesetzt wurden, und dann wurden plötzlich so viele davon in nur einem Jahr erfasst.“ Stimmt etwas ernsthaft mit dem CLFS-Treiber nicht?“
Am CLFS-Treiber hat sich in diesem Jahr nichts Besonderes geändert. Vielmehr scheinen die Angreifer erst jetzt herausgefunden zu haben, was die ganze Zeit daran falsch war: Es tendiert zu weit nach links in diesem unausweichlichen, ewigen Gleichgewicht zwischen Leistung und Sicherheit.
„CLFS ist vielleicht viel zu ‚auf Leistung optimiert‘“, schrieb Larin und beschrieb dabei die verschiedenen Möglichkeiten, wie der Treiber ihm Vorrang vor dem Schutz einräumt. „Es wäre besser, ein vernünftiges Dateiformat zu haben, anstatt einen Dump von Kernelstrukturen in eine Datei zu schreiben. Die gesamte Arbeit mit diesen Kernelstrukturen (mit Zeigern) findet direkt in den von der Festplatte gelesenen Blöcken statt. Da Änderungen an den dort gespeicherten Blöcken und Kernelstrukturen vorgenommen werden und diese Änderungen auf die Festplatte geschrieben werden müssen, analysiert der Code die Blöcke immer wieder, wenn er auf etwas zugreifen muss.“
Er fügte hinzu: „Die gesamte Analyse erfolgt mithilfe relativer Offsets, die auf jede beliebige Stelle innerhalb eines Blocks verweisen können. Wenn einer dieser Offsets während der Ausführung im Speicher beschädigt wird, können die Folgen katastrophal sein. Aber vielleicht am schlimmsten ist, dass Offsets in der BLF-Datei auf der Festplatte so manipuliert werden können, dass sich verschiedene Strukturen überlappen, was zu unvorhergesehenen Folgen führt.“
Die Summe all dieser Designoptionen ist eine effektive Daten- und Ereignisprotokollierung, aber auch zahlreiche leicht ausnutzbare Fehler. Allein im Jahr 2023 gab es solche CVE-2022-24521, CVE-2022-37969, CVE-2023-23376, CVE-2023-28252 – alle mit hohem Schweregrad, 7.8 auf der CVSS-Skala – als Zero-Day-Schwachstelle verwendet, sowie eine fünfte Schwachstelle, die gepatcht wurde, bevor damit verbundene böswillige Aktivitäten in freier Wildbahn beobachtet wurden. All dies wurde von Angreifern ausgenutzt, wie Kaspersky herausfand – darunter zum Beispiel die Ausnutzung von CVE-2023-28252 durch die Nokoyawa-Ransomware-Gruppe.
Ohne irgendeine Art von Neugestaltung könnte CLFS durchaus weiterhin Eskalationsmöglichkeiten für Hacker bieten. Um sich darauf vorzubereiten, schlägt Larin vor: „Organisationen sollten sich auf die Umsetzung der besten Sicherheitspraktiken konzentrieren: Sicherheitsupdates immer rechtzeitig installieren, Sicherheitsprodukte auf allen Endpunkten installieren, den Zugriff auf ihre Server einschränken und den Antiviren-Erkennungen große Aufmerksamkeit schenken, die von ihnen ausgehen.“ Server, schulen Mitarbeiter, damit sie nicht Opfer von Spear-Phishing werden.“
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
- Quelle: https://www.darkreading.com/vulnerabilities-threats/ransomware-attackers-abuse-windows-clfs-driver-zero-days
