6 de maio de 2024

Vulnerabilidade: Elevação de privilégios no driver CLFS do Windows 10

9 de setembro de 2020

O Cisco Talos descobriu recentemente uma vulnerabilidade de escalonamento de privilégios no Windows 10 Common Log File System. CLFS é um serviço de registro de propósito geral que pode ser usado por clientes de software em execução no modo de usuário ou no modo kernel.

Marcin “Icewall” Noga, da Cisco Talos, descobriu essa vulnerabilidade. Blog de Jon Munshaw.

Um arquivo de log CLFS malformado pode causar um estouro de pool e um adversário pode obter a capacidade de executar código na máquina vítima. Um usuário normal precisa abrir o arquivo de log para acionar esta vulnerabilidade, mas como o bug é acionado no nível do kernel, ele daria ao adversário privilégios elevados. A Microsoft divulgou e corrigiu esse bug como parte de sua atualização de segurança mensal na terça-feira. Para mais informações sobre as atualizações, leia o blog completo aqui .

De acordo com nossa política de divulgação coordenada, a Cisco Talos trabalhou com a Microsoft para garantir que esses problemas sejam resolvidos e que uma atualização esteja disponível para os clientes afetados.

DETALHES DE VULNERABILIDADE

Vulnerabilidade de escalonamento de privilégio ValidateRegionBlocks do Microsoft Windows 10 CLFS.sys (TALOS-2020-1098 / CVE-2020-1115)

Existe uma vulnerabilidade de escalonamento de privilégios na funcionalidade CLFS.sys ValidateRegionBlocks do Microsoft Windows 10 CLFS.SYS 10.0.19041.264 (WinBuild.160101.0800) e Insider Preview CLFS.SYS 10.0.20150.1000 (WinBuild.160101.0800). Um arquivo de log malformado especialmente criado pode causar um estouro de buffer de heap, resultando no aumento de privilégios. Um invasor pode acionar esse bug de usuário usando um arquivo de log malformado.

Leia o comunicado de vulnerabilidade completo aqui  para obter informações adicionais.

VERSÕES TESTADAS

O Talos testou e confirmou que o Microsoft Windows 10 CLFS.SYS, versão 10.0.19041.264 (WinBuild.160101.0800) e o Microsoft Windows 10 Insider Preview CLFS.SYS, versão 10.0.20150.1000 (WinBuild.160101.0800) são afetados por esta vulnerabilidade.

COBERTURA

As seguintes regras SNORTⓇ detectarão tentativas de exploração. Observe que regras adicionais podem ser lançadas em uma data futura e as regras atuais estão sujeitas a alterações pendentes de informações adicionais de vulnerabilidade. Para obter as informações mais recentes sobre as regras, consulte o seu Firepower Management Center ou Snort.org.

Regras do Snort: 54392

Fonte: https://blog.talosintelligence.com/2020/09/vuln-spotlight-windows-10-clfs-sept-2020.html

Matérias Relacionadas

A pesquisa JFrog descobre ataques coordenados ao Docker Hub que plantaram milhões de repositórios maliciosos

30 de abril de 2024

A ameaça Darkgate: aproveitando o Autohotkey e bypass do smartscreen

30 de abril de 2024

Na teia obscura, segredos médicos à venda

26 de abril de 2024

Veja mais..

Pagamentos de resgate aumentam 500%, para uma média de US$ 2 milhões

2 de maio de 2024

Hackers visam a Suécia, novo membro da OTAN, com aumento de ataques DDoS

2 de maio de 2024

Novo botnet “Goldoon” direcionado a dispositivos D-Link

2 de maio de 2024

DBIR: Explorações de vulnerabilidade triplicam como ponto de acesso inicial para violações de dados

2 de maio de 2024

HPE Aruba Networking corrige quatro falhas críticas de RCE no ArubaOS

2 de maio de 2024