Zephyrnet-logo

Generativ dataintelligens

Cyber ​​Security

Ransomware-angripere misbruker flere Windows CLFS-drivere Zero-Days

Publisert av Platon
Publisert av Platon

Dato:

Visninger: 129

I løpet av det siste halvannet året har angripere utnyttet minst fem sårbarheter – inkludert fire null-dager – i en sensitiv Windows-driver på kjernenivå.

En rekke rapporter publisert av Kasperskys Securelist denne uken presenterer ikke bare en håndfull feil, men et større, mer systemisk problem i den nåværende implementeringen av Windows Common Log File System (CLFS).

CLFS er et høyytelses, generell loggingssystem tilgjengelig for bruker- eller kjernemodusprogramvareklienter. Dens kjernetilgang gjør den svært nyttig for hackere som søker systemprivilegier på lavt nivå, og dens ytelsesorienterte design har etterlatt en rekke sikkerhetshull i kjølvannet de siste årene, som spesielt ransomware-aktører har kastet seg over.

"Kjernedrivere bør være veldig forsiktige når de håndterer filer, for hvis en sårbarhet oppdages, kan angripere utnytte den og få systemprivilegier," sier Boris Larin, hovedsikkerhetsforsker ved Kasperskys Global Research and Analysis Team, til Dark Reading. Dessverre har "designbeslutninger i Windows CLFS gjort det nesten umulig å analysere disse CLFS-filene på en sikker måte, noe som førte til fremveksten av et stort antall lignende sårbarheter."

Problemet med Windows CLFS

Win32k-nivå null-dager er ikke helt uvanlige, innrømmet Larin i sin forskning. Imidlertid skrev han, "vi hadde aldri sett så mange CLFS-driverutnyttelser bli brukt i aktive angrep før, og så er det plutselig så mange av dem tatt på bare ett år. Er det noe alvorlig galt med CLFS-driveren?"

Ingenting spesielt endret seg med CLFS-driveren i år. Snarere ser det ut til at angripere akkurat nå har identifisert hva som var galt med den hele tiden: Den lener seg for langt til venstre i den uunngåelige, evige balansen mellom ytelse og sikkerhet.

"CLFS er kanskje altfor 'optimalisert for ytelse'," skrev Larin, og beskrev alle de forskjellige måtene sjåføren prioriterer det fremfor beskyttelse. "Det ville være bedre å ha et rimelig filformat i stedet for en dump av kjernestrukturer skrevet til en fil. Alt arbeidet med disse kjernestrukturene (med pekere) skjer akkurat der i blokkene som leses fra disk. Fordi endringer er gjort i blokkene og kjernestrukturene som er lagret der, og disse endringene må tømmes til disken, analyserer koden blokkene om og om igjen hver gang den trenger tilgang til noe.»

Han la til, "All denne analysen gjøres ved å bruke relative forskyvninger, som kan peke til et hvilket som helst sted i en blokk. Hvis en av disse forskyvningene blir ødelagt i minnet under utførelse, kan konsekvensene bli katastrofale. Men kanskje verst av alt, forskyvninger i BLF-filen på disk kan manipuleres på en slik måte at ulike strukturer overlapper hverandre, noe som fører til uforutsette konsekvenser.»

Summen av alle disse designvalgene er effektiv data- og hendelseslogging, men også mange lett utnyttbare feil. Bare i 2023 var det CVE-2022-24521, CVE-2022-37969, CVE-2023-23376, CVE-2023-28252 — alle av høy alvorlighetsgrad, 7.8-vurdert på CVSS-skalaen — brukt som null-dager, samt en femte sårbarhet som ble lappet før noen assosiert ondsinnet aktivitet ble observert i naturen. Alle disse ble utnyttet av angripere, fant Kaspersky - inkludert for eksempel Nokoyawa løsepengevaregruppens utnyttelse av CVE-2023-28252.

Uten noen form for redesign, kan CLFS godt fortsette å tilby eskaleringsmuligheter for hackere. For å forberede seg på det, foreslår Larin, bør organisasjoner fokusere på å implementere de beste sikkerhetspraksisene: installer alltid sikkerhetsoppdateringer i tide, installer sikkerhetsprodukter på alle endepunkter, begrense tilgangen til serverne deres og ta stor hensyn til antivirusdeteksjoner som kommer fra servere, trene ansatte slik at de ikke blir ofre for spear-phishing.»

spot_img

Siste etterretning

spot_img

Copyright @ 2024 Plato Technologies Inc.