Vulnerabilidade: Elevação de privilégios no driver CLFS do Windows 10

O Cisco Talos descobriu recentemente uma vulnerabilidade de escalonamento de privilégios no Windows 10 Common Log File System. CLFS é um serviço de registro de propósito geral que pode ser usado por clientes de software em execução no modo de usuário ou no modo kernel.

Marcin “Icewall” Noga, da Cisco Talos, descobriu essa vulnerabilidade. Blog de Jon Munshaw.

Um arquivo de log CLFS malformado pode causar um estouro de pool e um adversário pode obter a capacidade de executar código na máquina vítima. Um usuário normal precisa abrir o arquivo de log para acionar esta vulnerabilidade, mas como o bug é acionado no nível do kernel, ele daria ao adversário privilégios elevados. A Microsoft divulgou e corrigiu esse bug como parte de sua atualização de segurança mensal na terça-feira. Para mais informações sobre as atualizações, leia o blog completo aqui .

De acordo com nossa política de divulgação coordenada, a Cisco Talos trabalhou com a Microsoft para garantir que esses problemas sejam resolvidos e que uma atualização esteja disponível para os clientes afetados.

DETALHES DE VULNERABILIDADE

Vulnerabilidade de escalonamento de privilégio ValidateRegionBlocks do Microsoft Windows 10 CLFS.sys (TALOS-2020-1098 / CVE-2020-1115)

Existe uma vulnerabilidade de escalonamento de privilégios na funcionalidade CLFS.sys ValidateRegionBlocks do Microsoft Windows 10 CLFS.SYS 10.0.19041.264 (WinBuild.160101.0800) e Insider Preview CLFS.SYS 10.0.20150.1000 (WinBuild.160101.0800). Um arquivo de log malformado especialmente criado pode causar um estouro de buffer de heap, resultando no aumento de privilégios. Um invasor pode acionar esse bug de usuário usando um arquivo de log malformado.

Leia o comunicado de vulnerabilidade completo aqui  para obter informações adicionais.

VERSÕES TESTADAS

O Talos testou e confirmou que o Microsoft Windows 10 CLFS.SYS, versão 10.0.19041.264 (WinBuild.160101.0800) e o Microsoft Windows 10 Insider Preview CLFS.SYS, versão 10.0.20150.1000 (WinBuild.160101.0800) são afetados por esta vulnerabilidade.

COBERTURA

As seguintes regras SNORTⓇ detectarão tentativas de exploração. Observe que regras adicionais podem ser lançadas em uma data futura e as regras atuais estão sujeitas a alterações pendentes de informações adicionais de vulnerabilidade. Para obter as informações mais recentes sobre as regras, consulte o seu Firepower Management Center ou Snort.org.

Regras do Snort: 54392

Fonte: https://blog.talosintelligence.com/2020/09/vuln-spotlight-windows-10-clfs-sept-2020.html