La protección del kernel resultó ser impotente contra el nuevo exploit PoC.
En el sistema operativo Windows 11 se ha detectado una vulnerabilidad crítica en el controlador del Common Log File System (CLFS), que permite a los usuarios locales escalar sus privilegios. CLFS es responsable de llevar registros eficientes de los eventos del sistema y las aplicaciones, y de facilitar la recuperación ante errores.
La vulnerabilidad se identificó en la función CClfsBaseFilePersisted::WriteMetadataBlock y está relacionada con el valor de retorno no controlado de ClfsDecodeBlock. Este fallo puede provocar la corrupción de datos dentro de la estructura de CLFS y abrir la puerta a la escalada de privilegios.
El ataque también permite a los atacantes descubrir la dirección del kernel en la memoria del pool, lo que ayuda a eludir las medidas de protección futuras planificadas para la versión 24H2 de Windows 11. Sin embargo, en el evento TyphoonPWN 2024, donde se presentó la prueba de concepto (PoC), este aspecto no fue utilizado, ya que las pruebas se realizaron en la versión 23H2.
La vulnerabilidad explota manipulaciones en la estructura de los registros de CLFS. Durante el ataque, se crea un archivo de registro, se modifican sus datos y se corrompen las estructuras clave del sistema, lo que permite tomar el control a nivel del kernel. La ausencia de la protección Supervisor Mode Access Prevention (SMAP) en Windows facilita a los atacantes el manejo de la memoria del kernel, permitiéndoles modificar los tokens de los procesos para elevar privilegios.
El ejemplo de uso de la vulnerabilidad, mostrado en TyphoonPWN 2024, demostró la ejecución de la línea de comandos con permisos SYSTEM, confirmando así el alto nivel de amenaza.
El investigador que descubrió el problema en la competencia obtuvo el primer lugar. Aunque Microsoft informó que esta vulnerabilidad es un duplicado y ya fue corregida, las pruebas realizadas en la versión más reciente de Windows 11 indicaron que el problema persiste sin resolver. Aún no se ha publicado un identificador CVE ni información sobre un parche.
Los expertos en ciberseguridad recomiendan a los administradores de sistemas estar atentos a las actualizaciones de Microsoft e instalar los parches de manera inmediata en cuanto estén disponibles.