Ransomware-aanvallers misbruiken meerdere Windows CLFS-stuurprogramma's Zero-Days

In de afgelopen anderhalf jaar hebben aanvallers minstens vijf kwetsbaarheden – waaronder vier zero-days – misbruikt in een gevoelig Windows-stuurprogramma op kernelniveau.

Een reeks rapporten gepubliceerd door Kaspersky’s Securelist deze week legt niet alleen een handvol bugs bloot, maar een groter, meer systemisch probleem in de huidige implementatie van het Windows Common Log File System (CLFS).

CLFS is een krachtig logsysteem voor algemene doeleinden dat beschikbaar is voor softwareclients in gebruikers- of kernelmodus. De kerneltoegang maakt het bij uitstek nuttig voor hackers die op zoek zijn naar systeemrechten op een laag niveau, en het prestatiegerichte ontwerp heeft de afgelopen jaren een reeks beveiligingslekken achtergelaten, waar vooral ransomware-actoren op zijn gesprongen.

“Kernelstuurprogramma’s moeten heel voorzichtig zijn bij het omgaan met bestanden, want als er een kwetsbaarheid wordt ontdekt, kunnen aanvallers deze misbruiken en systeemrechten verkrijgen”, vertelt Boris Larin, hoofdbeveiligingsonderzoeker bij Kaspersky’s Global Research and Analysis Team, aan Dark Reading. Helaas hebben “ontwerpbeslissingen in Windows CLFS het vrijwel onmogelijk gemaakt om deze CLFS-bestanden veilig te parseren, wat heeft geleid tot de opkomst van een groot aantal soortgelijke kwetsbaarheden.”

Het probleem met Windows CLFS

Zero-days op Win32k-niveau zijn niet geheel ongewoon, gaf Larin toe in zijn onderzoek. Hij schreef echter: “We hadden nog nooit zoveel exploits van CLFS-stuurprogramma’s zien worden gebruikt bij actieve aanvallen, en dan worden er plotseling zoveel van deze exploits in slechts één jaar vastgelegd. Is er iets ernstig mis met het CLFS-stuurprogramma?”

Er is dit jaar niets bijzonders veranderd aan de CLFS-coureur. Integendeel, aanvallers lijken nu pas te hebben vastgesteld wat er de hele tijd mis mee was: het leunt te ver naar links in dat onontkoombare, eeuwige evenwicht tussen prestaties en veiligheid.

“CLFS is misschien veel te ‘geoptimaliseerd voor prestaties’”, schreef Larin, waarin hij alle verschillende manieren beschrijft waarop de bestuurder prioriteit geeft aan bescherming. “Het zou beter zijn om een ​​redelijk bestandsformaat te hebben in plaats van een dump van kernelstructuren die naar een bestand zijn geschreven. Al het werk met deze kernelstructuren (met pointers) gebeurt precies daar in de blokken die van schijf worden gelezen. Omdat er wijzigingen worden aangebracht in de blokken en kernelstructuren die daar zijn opgeslagen, en die wijzigingen naar de schijf moeten worden overgebracht, ontleedt de code de blokken keer op keer als hij ergens toegang toe nodig heeft.”

Hij voegde eraan toe: “Al dit parseren gebeurt met behulp van relatieve offsets, die naar elke locatie binnen een blok kunnen verwijzen. Als een van deze offsets tijdens de uitvoering in het geheugen beschadigd raakt, kunnen de gevolgen catastrofaal zijn. Maar het ergste van alles is misschien wel dat offsets in het BLF-bestand op schijf zo kunnen worden gemanipuleerd dat verschillende structuren elkaar overlappen, wat tot onvoorziene gevolgen kan leiden.”

De som van al deze ontwerpkeuzes is effectieve gegevens- en gebeurtenisregistratie, maar ook tal van gemakkelijk te exploiteren bugs. Alleen al in 2023 waren dat er CVE-2022-24521, CVE-2022-37969, CVE-2023-23376, CVE-2023-28252 – allemaal zeer ernstig, met een score van 7.8 op de CVSS-schaal – gebruikt als zero-days, evenals een vijfde kwetsbaarheid die werd gepatcht voordat enige bijbehorende kwaadaardige activiteit in het wild werd waargenomen. Deze werden allemaal misbruikt door aanvallers, ontdekte Kaspersky, waaronder bijvoorbeeld de Exploitatie van CVE-2023-28252 door de Nokoyawa-ransomwaregroep.

Zonder enige vorm van herontwerp zou CLFS mogelijk escalatiemogelijkheden voor hackers kunnen blijven bieden. Om zich daarop voor te bereiden, stelt Larin, “moeten organisaties zich concentreren op het implementeren van de beste beveiligingspraktijken: installeer altijd beveiligingsupdates op tijd, installeer beveiligingsproducten op alle eindpunten, beperk de toegang tot hun servers en besteed veel aandacht aan antivirusdetecties die afkomstig zijn van de servers, train medewerkers zodat ze geen slachtoffer worden van spearphishing.”

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.darkreading.com/vulnerabilities-threats/ransomware-attackers-abuse-windows-clfs-driver-zero-days