2024-10-28T11:20:00+03:00
במערכת ההפעלה Windows 11 התגלתה פגיעות קריטית במנהל ההתקן Common Log File System (CLFS), המאפשר למשתמשים מקומיים להסלים את ההרשאות שלהם. CLFS אחראי על רישום יעיל של מערכת ויישומים למעקב אחר אירועים ושחזור שגיאות.
הפגיעות זוהתה בפונקציה CClfsBaseFilePersisted::WriteMetadataBlock והיא נובעת מערך ההחזרה הבלתי ניתן לעקוב אחר של ClfsDecodeBlock. כשל זה עלול לגרום לשחיתות נתונים בתוך מבנה CLFS ולפתוח את הדלת להסלמה של הרשאות.
המתקפה גם מאפשרת לתוקפים ללמוד את כתובת הליבה במאגר הזיכרון, מה שעוזר לעקוף הגנות עתידיות המתוכננות לגרסת Windows 11 24H2. עם זאת, באירוע TyphoonPWN 2024, שבו הוצגה הוכחת מושג (PoC), לא נעשה שימוש בהיבט זה, מכיוון שהבדיקה בוצעה בגרסה 23H2.
הפגיעות מנצלת מניפולציה של מבנה יומן ה-CLFS. במהלך ההתקפה, נוצר קובץ יומן, הנתונים שלו משתנים ומשבשים מבני מערכת מרכזיים, מה שמאפשר לתפוס שליטה ברמת הקרנל. היעדר הגנת Supervisor Mode Access Prevention (SMAP) ב-Windows מקל על התוקפים לתפעל את זיכרון הקרנל על ידי שינוי אסימוני תהליך כדי להסלים את ההרשאות.
דוגמה לניצול של הפגיעות שהודגמה ב- TyphoonPWN 2024 הראתה הפעלת שורת הפקודה עם זכויות SYSTEM, מה שמאשר את רמת האיום הגבוהה.
החוקר שגילה את הבעיה בתחרות זכה במקום הראשון. למרות שמיקרוסופט דיווחה שהפגיעות הזו היא כפילה וכבר תוקנה, בדיקות בגרסה העדכנית ביותר של Windows 11 הראו שהבעיה נותרה לא נפתרה. מזהה ה-CVE או מידע התיקון עדיין לא פורסם.
מומחי אבטחת סייבר ממליצים למנהלי מערכת לעקוב אחר עדכונים ממיקרוסופט ולהתקין טלאים מיידית ברגע שהם הופכים זמינים.
המדענים הוכיחו שקריאת הערוץ שלנו מאריכה חיים!
בסדר, הם לא הוכיחו עדיין 😊 אבל אנחנו עובדים על זה, קחו חלק בניסוי – הירשמו ,והישארו תמיד מעודכנים!
קישור למקור
[mc4wp_form id=1302]
