Gli aggressori ransomware abusano di più driver Windows CLFS Zero-Day

Nell’ultimo anno e mezzo, gli aggressori hanno sfruttato almeno cinque vulnerabilità, di cui quattro zero-day, in un driver Windows sensibile a livello di kernel.

Una serie di resoconti pubblicato da Securelist di Kaspersky questa settimana illustra non solo una manciata di bug, ma un problema più ampio e sistemico nell'attuale implementazione del Common Log File System di Windows (CLFS).

CLFS è un sistema di registrazione ad alte prestazioni per scopi generici disponibile per client software in modalità utente o kernel. Il suo accesso al kernel lo rende estremamente utile per gli hacker che cercano privilegi di sistema di basso livello, e il suo design orientato alle prestazioni ha lasciato dietro di sé una serie di buchi di sicurezza negli ultimi anni, su cui si sono avventati in particolare gli autori di ransomware.

"I driver del kernel dovrebbero prestare molta attenzione quando gestiscono i file, perché se viene scoperta una vulnerabilità, gli aggressori possono sfruttarla e ottenere privilegi di sistema", dice a Dark Reading Boris Larin, principale ricercatore sulla sicurezza presso il Global Research and Analysis Team di Kaspersky. Sfortunatamente, “le decisioni di progettazione di Windows CLFS hanno reso quasi impossibile l’analisi sicura di questi file CLFS, il che ha portato all’emergere di un numero enorme di vulnerabilità simili”.

Il problema con CLFS di Windows

Zero-day a livello Win32k non sono del tutto insoliti, ha ammesso Larin nella sua ricerca. Tuttavia, ha scritto, “non avevamo mai visto così tanti exploit dei driver CLFS utilizzati in attacchi attivi prima, e poi improvvisamente ce ne sono così tanti catturati in un solo anno. C'è qualcosa di seriamente sbagliato nel driver CLFS?"

Quest'anno non è cambiato nulla in particolare per quanto riguarda il driver CLFS. Piuttosto, gli aggressori sembrano aver identificato solo ora cosa c’era di sbagliato in tutto questo tempo: si inclina troppo a sinistra in quell’inevitabile, eterno equilibrio tra prestazioni e sicurezza.

"Il CLFS è forse troppo 'ottimizzato per le prestazioni'", ha scritto Larin, descrivendo in dettaglio tutti i vari modi in cui il conducente gli dà priorità rispetto alla protezione. “Sarebbe meglio avere un formato di file ragionevole invece di un dump delle strutture del kernel scritte su un file. Tutto il lavoro con queste strutture del kernel (con puntatori) avviene proprio nei blocchi letti dal disco. Poiché le modifiche vengono apportate ai blocchi e alle strutture del kernel archiviate lì, e tali modifiche devono essere scaricate sul disco, il codice analizza i blocchi più e più volte ogni volta che deve accedere a qualcosa.

Ha aggiunto: “Tutta questa analisi viene eseguita utilizzando offset relativi, che possono puntare a qualsiasi posizione all’interno di un blocco. Se uno di questi offset viene danneggiato nella memoria durante l'esecuzione, le conseguenze possono essere catastrofiche. Ma forse la cosa peggiore è che gli offset nel file BLF su disco possono essere manipolati in modo tale che diverse strutture si sovrappongano, portando a conseguenze impreviste”.

La somma di tutte queste scelte progettuali è un'efficace registrazione dei dati e degli eventi, ma anche numerosi bug facilmente sfruttabili. Solo nel 2023 ce n'erano CVE-2022-24521, CVE-2022-37969, CVE-2023-23376, CVE-2023-28252 - tutti di gravità elevata, con un punteggio di 7.8 sulla scala CVSS - utilizzati come zero-day, oltre a una quinta vulnerabilità che è stata corretta prima che qualsiasi attività dannosa associata venisse osservata in circolazione. Tutti questi sono stati sfruttati dagli aggressori, ha scoperto Kaspersky, incluso, ad esempio, il Sfruttamento di CVE-2023-28252 da parte del gruppo ransomware Nokoyawa.

Senza una sorta di riprogettazione, CLFS potrebbe continuare a offrire opportunità di escalation agli hacker. Per prepararsi a ciò, suggerisce Larin, “le organizzazioni dovrebbero concentrarsi sull’implementazione delle migliori pratiche di sicurezza: installare sempre gli aggiornamenti di sicurezza in tempo, installare prodotti di sicurezza su tutti gli endpoint, limitare l’accesso ai propri server e prestare grande attenzione ai rilevamenti antivirus provenienti dal sistema operativo. server, formare i dipendenti in modo che non diventino vittime di spear-phishing.”

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Fonte: https://www.darkreading.com/vulnerabilities-threats/ransomware-attackers-abuse-windows-clfs-driver-zero-days