多个 Windows CLFS 驱动程序 0 day 漏洞正在被攻击者利用

卡巴斯基实验室最近的一项研究发现,自 2022 年 6 月以来,攻击者一直在积极利用Windows CLFS 驱动程序中的一系列漏洞,作为复杂黑客攻击的一部分。总共在五个不同的 CLFS 驱动程序中发现了漏洞,包括 CVE-2022-24521 、 CVE-2022-37969 、 CVE-2023-23376 和 CVE-2023-28252 。

CLFS 自 Windows Server 2003 R2 和 Windows Vista 开始使用,是一种在操作系统内核级别运行的复杂日志机制。该系统的关键要素是基本日志文件(BLF),其中包含大量元数据。

在研究过程中,卡巴斯基实验室专家发现了 BLF 文件格式的严重缺陷。它们由内核内存结构组成,包括内存指针,这增加了漏洞的风险。自2018年以来,已有30多个类似的CLFS漏洞被修复,证实这是一个真正的安全威胁。

对 BLF 格式的详细研究表明,此类文件由存储在块中的记录组成。这些块具有复杂的结构,包括标头和偏移数组。

尽管 CLFS 已针对最佳性能进行了优化,但其复杂性和遗留代码是导致漏洞的因素。块内偏移错误可能会导致严重后果,包括攻击者的权限升级。

该研究强调了仔细设计和维护安全系统的重要性,尤其是关键操作系统组件。关于 CLFS 安全性的问题需要进一步关注,并且可能需要彻底重新思考数据保护方法。


转自安全客,原文链接:https://www.anquanke.com/post/id/292135

© 版权声明
THE END
你的支持是我们在网空安全路上的驱动力!
点赞12 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码

    暂无评论内容