Windows 11’in Ortak Günlük Dosya Sistemi (CLFS) sürücüsünde kritik bir güvenlik açığı keşfedildi. Bu kusur, yerel kullanıcıların sistem içindeki belirli bir işlevden yararlanarak yükseltilmiş ayrıcalıklar elde etmesine olanak tanıyor.
Sorun şu adreste yer alıyor: CClfsBaseFilePersisted::WriteMetadataBlock
işlevin dönüş değeri burada ClfsDecodeBlock
gerektiği gibi kontrol edilmiyor. Bu gözetim, saldırganların dahili CLFS yapılarını bozmasına ve potansiyel olarak ayrıcalık artışına yol açmasına olanak tanır.
Ayrıca güvenlik açığı, Windows 11 24H2 için planlanan bazı risk azaltıcı önlemleri atlayarak çekirdek havuzu adresini sızdırmak için kullanılabilir. Ancak TyphoonPWN 2024 için kavram kanıtlama (PoC), Windows 11 23H2’yi hedef aldığından bu yöntemi kullanmaz.
Bağımsız bir güvenlik araştırmacısı güvenlik açığını tespit etti ve TyphoonPWN 2024’te birinci oldu. Windows 11’in en son sürümünde yapılan testler güvenlik açığının devam ettiğini gösteriyor. Hiçbir CVE numarası veya yama ayrıntısı sağlanmadı.
Free Webinar on How to Protect Small Businesses Against Advanced Cyberthreats -> Watch Here
Sömürü Süreci
CLFS sistemi, çekirdek adresleri gibi hassas verileri açığa çıkarmadan günlük dosyalarını ve yapılarını yönetir. Güvenlik açığı, meta veri bloklarını yöneten kodlama ve kod çözme süreçlerinden yararlanıyor. Saldırganlar bu süreçleri manipüle ederek CLFS yapısındaki önemli verileri bozarak ayrıcalık yükseltmeyi başarabilirler.
Saldırganlar, CLFS sistemi içindeki konteyner ve istemci yapılarının çakışması yoluyla bu güvenlik açığını tetikleyebilir. Bu, günlük dosyaları oluşturmayı ve sağlama toplamlarını ve kodlama etiketlerini yönetmek için bunların yapılarını doğrudan değiştirmeyi içerir.
Bu istismar birkaç adımı içeriyor:
- Bir günlük dosyası oluşturma ve kapsayıcılar ekleme.
- Sektör etiketlerini kontrol etmek için dosya yapılarını değiştirmek.
- Sahte hazırlanıyor
CClfsContainer
Kullanıcı alanındaki yapı. - Çekirdek adresleri ve işlem parçacıkları gibi sistem bilgilerinin sızdırılması.
- Güvenlik kontrollerini atlamak ve ayrıcalıkları yükseltmek için sistem ayarlarını değiştirmek.
Saldırganlar, başarıyla istismar edildikten sonra sistemde yükseltilmiş izinlere sahip işlemler oluşturmak gibi ayrıcalıklı eylemler gerçekleştirebilir.
Bu güvenlik açığı, Windows 11’in CLFS sürücüsündeki önemli güvenlik endişelerini vurgulamaktadır. Potansiyel riskleri azaltmak için kullanıcıların dikkatli olmaları ve Microsoft’un sunduğu tüm güncellemeleri uygulamaları önerilir.
Microsoft, iletişime geçtiğinde güvenlik açığının yinelenen bir güvenlik açığı olduğunu ve zaten giderildiğini belirtti. Ancak araştırmacılar, bu açıktan yararlanmanın Windows 11’in en son sürümünde hala çalıştığını belirtiyor. Şirket tarafından herhangi bir CVE numarası veya yama bilgisi sağlanmadı.
UnderDefense MDR ile ağlarınızı ve uç noktalarınızı koruma – Ücretsiz Demo Talep Edin