研究人员详细介绍上个月修补的Windows零日漏洞

有关Windows通用日志文件系统（CLFS）中现已修补的安全漏洞的详细信息已经出现，攻击者可以利用该漏洞在受威胁的计算机上获取提升的权限。

该问题被追踪为CVE-22-37969（CVSS得分：7.8），微软在2022年9月的周二补丁更新中解决了该问题，同时也注意到该问题在野外被积极利用。

该公司在其咨询中指出：“攻击者必须已经拥有在目标系统上运行代码的权限和能力”。“这种技术不允许攻击者在目标系统上不具备远程代码执行能力。”

它还赞扬了CrowdStrike、DBAPPSecurity、Mandiant和Zscaler的研究人员报告了漏洞，而没有深入研究攻击性质的其他细节。

现在，Zscaler ThreatLabz研究团队披露，他们在2022年9月2日的零日捕获了一个野外漏洞。

该网络安全公司在与《黑客新闻》分享的一份根本原因分析中表示：“漏洞的原因是，对CLFS.sys中基本日志文件（BLF）的基本记录头中的字段cbSymbolZone缺乏严格的边界检查”。

如果字段cbSymbolZone设置为无效偏移量，则在无效偏移量处会发生越界写入。

CLFS是一种通用的日志服务，可以由以用户模式或内核模式运行的软件应用程序使用，以记录数据和事件并优化日志访问。

与CLFS相关的一些用例包括在线事务处理（OLTP）、网络事件日志、合规性审计和威胁分析。

根据Zscaler的说法，该漏洞根源于一个名为基本记录的元数据块，该元数据块存在于基本日志文件中，该文件是使用CreateLogFile（）函数创建日志文件时生成的。

Crowdstrike首席架构师Alex Ionescu表示：“[Base record]包含符号表，用于存储与Base Log File相关的各种客户端、容器和安全上下文的信息，以及这些上下文的会计信息”。

因此，通过特制的基本日志文件成功利用CVE-22-37969可能导致内存损坏，进而以可靠的方式引发系统崩溃（也称死亡蓝屏或BSoD）。

也就是说，系统崩溃只是利用该漏洞产生的结果之一，因为它也可能被武器化以实现特权升级。

Zscaler还提供了触发安全漏洞的概念验证（PoC）指令，这使得Windows用户必须升级到最新版本以减轻潜在威胁。