Microsoft, Salı günü Haziran 2025 yaması boyunca Windows Ortak Günlük Dosya Sistemi (CLFS) sürücüsünde kritik bir güvenlik kusurunu (CVE-2025-32713) ele aldı.
Yığın tabanlı tampon taşma güvenlik açığı, yerel saldırganların ayrıcalıkları artırmasını sağlar. Sistem düzeyinde erişimkurumsal ortamlar için önemli riskler oluşturmak.
Güvenlik açığı, uygulamalar ve sistem hizmetleri için işlem günlüklerini yöneten CLFS sürücüsünde (CWE-122) uygunsuz bellek işlemesinden kaynaklanmaktadır.
.png
)
Saldırganlar bunu aşağıdakilerle kullanabilir:
- Hazırlanmış günlük işlemleri yoluyla bir yığın taşmasını tetiklemek.
- Yürütme akışını yeniden yönlendirmek için bitişik bellek yapılarının bozulması.
- Kazanma NT Otorite \ Sistem Kullanıcı etkileşimi olmadan ayrıcalıklar.
powershell# Detection script for suspicious CLFS activity
Get-Process | Where-Object { $_.ProcessName -eq "dllhost" -and $_.Modules.ModuleName -match "clfs" }
Bu PowerShell snippet, gibi süreçleri tanımlar dllhost.exe anormal olarak etkileşim clfs.sys– Sömürünün anahtar göstergesi.
Sömürü mekaniği ve gözlemlenen taktikler
Kusurun yerel saldırı vektörü (AV: L), genellikle şu şekilde elde edilen başlangıç erişimini gerektirir:
- Kimlik avı kampanyaları Kötü niyetli SMB sunucuları veya URL dosyaları sunma.
- Kontrodize sonrası etkinlik Ransomware grupları tarafından ayrıcalık yükseltme zincirlerinden yararlanıyor.
Sömürü zinciri örneği
text1. Attacker gains low-privilege access via phishing.
2. Executes malicious CLFS log operations to trigger overflow.
3. Overwrites kernel memory to execute arbitrary code.
4. Deploys payloads (e.g., ransomware, credential stealers).
Microsoft’un danışmanlığı, sömürülebilirlik değerlendirmesini not eder “Sömürü daha olası”CLFS’nin geçmişini sık fidye yazılımı hedefi olarak yansıtmak.
Azaltma stratejileri ve risk faktörleri
| Risk faktörü | Detaylar |
|---|---|
| CVSSV3 puanı | 7.8 (AV: L/AC: L/PR: L/UI: N/S: U) |
| Olgunluktan istismar | Kanıtlanmamış (yama sürümü olarak) |
| Etkilenen sistemler | Windows 10/11, Sunucu 2016-2025 |
| Yama önceliği | Yüksek riskli ortamlar için kritik |
Önerilen Eylemler
- Microsoft’un Haziran 2025 yamalarını (KB5058411, KB5058405) uygulayın.
- Yerel kullanıcı ayrıcalıklarını kullanarak En az ayrıcalık ilkeleri.
- Gibi IOC’leri izleyin
PipeMagickötü amaçlı yazılım veya beklenmediksvchost.exeetkileşimler.
CVE-2025-32713, CLFS gibi Windows çekirdek bileşenlerinin kalıcı hedeflemesinin altını çizer.
2022’den bu yana 30’dan fazla CLFS güvenlik açığı ile-altı aktif olarak sömürülen-organizasyonlar hızlı yama dağıtımına ve çekirdek seviyesi izlemeye öncelik vermelidir.
Bu kusurun düşük karmaşıklığı ve yüksek etkisi, onu fidye yazılımı araç setlerine dahil etmek için birinci sınıf bir aday haline getirerek proaktif savunma önlemleri talep ediyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin