ゼファーネットのロゴ

生成的データ インテリジェンス

サイバーセキュリティ

ランサムウェア攻撃者が複数の Windows CLFS ドライバーのゼロデイを悪用

プラトン再発行
プラトン再発行

日付:

閲覧数: 129

過去 XNUMX 年半で、攻撃者は機密性の高いカーネル レベルの Windows ドライバーにある少なくとも XNUMX つの脆弱性 (XNUMX つのゼロデイを含む) を悪用しました。

一連のレポート Kaspersky の Securelist が今週公開した文書では、Windows 共通ログ ファイル システム (CLFS) の現在の実装における少数のバグだけでなく、より大きく、より体系的な問題が明らかになりました。

CLFS は、ユーザー モードまたはカーネル モードのソフトウェア クライアントで使用できる高性能の汎用ログ システムです。そのカーネル アクセスは、低レベルのシステム特権を求めるハッカーにとって非常に役立ちます。また、そのパフォーマンス指向の設計により、近年、特にランサムウェア攻撃者が襲いかかる一連のセキュリティ ホールが残されています。

カスペルスキーのグローバル調査分析チームの主任セキュリティ研究者であるボリス・ラリン氏は、「カーネルドライバーはファイルを扱う際に細心の注意を払う必要があります。脆弱性が発見されると、攻撃者が悪用してシステム権限を取得する可能性があるからです」と、Kas​​persky のグローバル調査分析チームの主任セキュリティ研究員である Boris Larin 氏は語ります。残念ながら、「Windows CLFS の設計上の決定により、これらの CLFS ファイルを安全に解析することがほぼ不可能になり、その結果、膨大な数の同様の脆弱性が出現しました。」

Windows CLFSの問題

Win32k レベルのゼロデイ まったく珍しいことではない、とラリン氏も研究で認めた。しかし、同氏は次のように書いています。「これほど多くの CLFS ドライバーのエクスプロイトが積極的な攻撃に使用されているのをこれまで見たことがありませんでしたが、わずか XNUMX 年で突然、非常に多くのエクスプロイトが捕捉されるようになりました。 CLFS ドライバーに何か重大な問題がありますか?」

今年のCLFSドライバーに関しては特に何も変化はなかった。むしろ、攻撃者は、これまでずっと何が問題だったかを今頃特定したようです。パフォーマンスとセキュリティの間の避けられない永遠のバランスにおいて、あまりにも左に傾いています。

「CLFSはおそらく『パフォーマンスのために最適化』されすぎている」とラリン氏は書き、ドライバーが保護よりもCLFSを優先するさまざまな方法を詳しく説明した。 「カーネル構造のダンプをファイルに書き込むのではなく、適切なファイル形式を用意した方がよいでしょう。これらのカーネル構造 (ポインターを使用) でのすべての作業は、ディスクから読み取られたブロック内で行われます。そこに保存されているブロックとカーネル構造に変更が加えられ、それらの変更をディスクにフラッシュする必要があるため、コードは何かにアクセスする必要があるたびにブロックを何度も解析します。」

彼はさらに、「この解析はすべて、ブロック内の任意の位置を指すことができる相対オフセットを使用して行われます。実行中にこれらのオフセットのいずれかがメモリ内で破損すると、壊滅的な結果が生じる可能性があります。しかしおそらく最悪なのは、ディスク上の BLF ファイル内のオフセットが、異なる構造が重なるように操作され、予期せぬ結果を引き起こす可能性があることです。」

これらすべての設計上の選択を総合すると、効果的なデータとイベントのログが得られますが、同時に悪用されやすいバグも数多く存在します。 2023 年だけでも、 CVE-2022-24521, CVE-2022-37969, CVE-2023-23376, CVE-2023-28252 — いずれも重大度が高く、CVSS スケールで 7.8 と評価されています — ゼロデイとして使用されるほか、関連する悪意のあるアクティビティが実際に観察される前にパッチが適用された XNUMX 番目の脆弱性も使用されます。カスペルスキーは、これらすべてが攻撃者によって利用されていることを発見しました。 Nokoyawa ランサムウェア グループによる CVE-2023-28252 の悪用.

何らかの再設計がなければ、CLFS はハッカーにエスカレーションの機会を提供し続ける可能性があります。それに備えて、Larin 氏は次のように提案しています。「組織は、セキュリティのベストプラクティスの導入に重点を置くべきです。つまり、常にセキュリティアップデートを時間通りにインストールし、すべてのエンドポイントにセキュリティ製品をインストールし、サーバーへのアクセスを制限し、ウイルス対策の検出に細心の注意を払う必要があります。」サーバーは従業員を訓練して、スピアフィッシングの被害者にならないようにしてください。」

スポット画像

最新のインテリジェンス

スポット画像

著作権 @ 2024 Plato Technologies Inc.