Microsoft schließt kritische Sicherheitslücke mit wichtigen Sicherheitsupdates
Experten enthüllen technische Details des jetzt gepatchten CVE-2022-37969 Windows Zero-Day
ITcares Managed Client Kunden sind NICHT betroffen
Kritische Sicherheitslücke im CLFS
Bei der Schwachstelle CVE-2022-37969 (CVSS-Score: 7.8) handelt es sich um eine Windows Common Log File System Driver Elevation of Privilege-Schwachstelle. Das Common Log File System (CLFS) ist ein universelles Protokollierungs-Subsystem, das von Anwendungen sowohl im Kernel- als auch im Benutzermodus für die Erstellung von Hochleistungs-Transaktionsprotokollen verwendet werden kann und im Treiber CLFS.sys implementiert ist. Microsoft hat die Schwachstelle mit der Veröffentlichung der Patch Tuesday-Sicherheitsupdates vom September 2022 behoben, aber das Unternehmen gibt auch an, dass die Schwachstelle in freier Wildbahn aktiv ausgenutzt wird.
Am 2. September 2022 entdeckte Zscaler Threatlabz ein 0-Day-Exploit im Windows Common Log File System Driver (CLFS.sys) und meldete diese Entdeckung an Microsoft. Mit dem September Tuesday Patch hat Microsoft diese Schwachstelle behoben, die als CVE-2022-37969 identifiziert wurde. Es handelt sich dabei um eine Schwachstelle im Windows Common Log File System-Treiber, die zu einer Erhöhung der Berechtigungen führt. Ein Angreifer, der diese Sicherheitslücke erfolgreich ausnutzt, kann SYSTEM-Rechte erlangen. Der 0-Day-Exploit kann die Privilegienerweiterung unter Windows 10 und Windows 11 vor dem September-Patch erfolgreich ausführen. Die Ursache für die Sicherheitsanfälligkeit ist das Fehlen einer strengen Prüfung der Grenzen für das Feld SignaturesOffset im Base Block for the base log file (BLF) in CLFS.sys. Ein speziell präpariertes Client-Kontext-Array und ein gefälschter Client-Kontext in der Basisprotokolldatei können CLFS ausnutzen, um das Feld SignaturesOffset mit einem anormalen Wert zu überschreiben. Dies führt zu einer Umgehung der Validierung des Feldes cbSymbolZone, wenn ein Symbol zugewiesen wird. So kann ein ungültiges cbSymbolZone-Feld ein unzulässiges Schreiben an einem beliebigen Offset erzeugen. In dieser zweiteiligen Blogserie werden wir die Schwachstelle und den in freier Wildbahn entdeckten 0-Day-Exploit entmystifizieren. Die Blogs bestehen aus zwei Teilen: einer Analyse der Grundursache und einer Analyse des Exploits. In diesem Blog präsentieren wir zunächst eine detaillierte Analyse der Ursache für CVE-2022-37969.
Was bedeutet diese kritische Sicherheitslücke für ITcares Managed Client Kunden?
Unsere Sicherheitsexperten haben diesen von Microsoft freigegebenen Patch sehr zeitnah nach Veröffentlichung auf den ITcares internen Test-Systemen implementiert, und diverse Tests durchgeführt. Nach erfolgreichem Abschluss wurde dieser Patch auf allen Systemen ausgerollt, die wir im Rahmen des Managed Client Services betreuen.
Unsere Managed Client Kunden konnten wie gewohnt arbeiten, und waren nicht von dieser Sicherheitslücke betroffen. Die ITcares-Sicherheitsexperten haben im Rahmen des Patchmanagement diese Sicherheitslücke behoben.
Shutterstock #1164378079
Shutterstock #1727384935