Касперский раскрывает недостатки в фундаменте безопасности Windows

Недавнее исследование «Лаборатории Касперского» показало , что с июня 2022 года злоумышленники активно эксплуатировали серию уязвимостей в драйвере CLFS Windows в рамках изощрённых хакерских атак. В общей сложности были выявлены уязвимости в пяти различных драйверах CLFS, включая CVE-2022-24521 , CVE-2022-37969 , CVE-2023-23376 и CVE-2023-28252 .

Система CLFS, используемая начиная с Windows Server 2003 R2 и Windows Vista, представляет собой сложный механизм журналирования, работающий на уровне ядра ОС. Ключевым элементом данной системы является файл базового журнала (BLF), содержащий множество метаданных.

В ходе исследования специалисты «Лаборатории Касперского» обнаружили серьёзные недостатки в формате файлов BLF. Они состоят из структур памяти ядра, включая указатели памяти, что повышает риск уязвимостей. С 2018 года было устранено более 30 подобных уязвимостей, связанных с CLFS, что подтверждает реальную угрозу безопасности.

Детальное изучение формата BLF выявило, что такие файлы состоят из записей, хранящихся в блоках. Эти блоки имеют сложную структуру, включая заголовки и массивы смещений.

Несмотря на оптимизацию системы CLFS для оптимальной производительности, её сложность и старый код являются факторами, способствующими появлению уязвимостей. Ошибки в смещениях внутри блоков могут привести к серьёзным последствиям, включая повышение привилегий злоумышленниками.

Исследование подчёркивает важность тщательной разработки и поддержки систем безопасности, особенно в ключевых компонентах операционных систем. Поднятые вопросы о безопасности CLFS требуют дальнейшего внимания и, возможно, тотального пересмотра подходов к защите данных.