卡巴斯基实验室最近的一项研究发现,自 2022 年 6 月以来,攻击者一直在积极利用Windows CLFS 驱动程序中的一系列漏洞,作为复杂黑客攻击的一部分。总共在五个不同的 CLFS 驱动程序中发现了漏洞,包括 CVE-2022-24521 、 CVE-2022-37969 、 CVE-2023-23376 和 CVE-2023-28252 。
CLFS 自 Windows Server 2003 R2 和 Windows Vista 开始使用,是一种在操作系统内核级别运行的复杂日志机制。该系统的关键要素是基本日志文件(BLF),其中包含大量元数据。
在研究过程中,卡巴斯基实验室专家发现了 BLF 文件格式的严重缺陷。它们由内核内存结构组成,包括内存指针,这增加了漏洞的风险。自2018年以来,已有30多个类似的CLFS漏洞被修复,证实这是一个真正的安全威胁。
对 BLF 格式的详细研究表明,此类文件由存储在块中的记录组成。这些块具有复杂的结构,包括标头和偏移数组。
尽管 CLFS 已针对最佳性能进行了优化,但其复杂性和遗留代码是导致漏洞的因素。块内偏移错误可能会导致严重后果,包括攻击者的权限升级。
该研究强调了仔细设计和维护安全系统的重要性,尤其是关键操作系统组件。关于 CLFS 安全性的问题需要进一步关注,并且可能需要彻底重新思考数据保护方法。
转自安全客,原文链接:https://www.anquanke.com/post/id/292135
© 版权声明
文章版权归原作者所有,转摘请注明出处。文章内容仅代表作者独立观点,不代表安全壹壹肆&安全114的立场,转载目的在于传递网络空间安全讯息。部分素材来源于网络,如有侵权请联系首页管理员删除。
THE END
暂无评论内容