Am 14. November 2023 veröffentlichte Microsoft ein Security Advisory zu einer schweren Sicherheitslücke die den Windows Kernel Pool Teriber (clfs.sys), die es einem Angreifer ermöglichen könnte, erweiterte Berechtigungen auf einem anfälligen System zu erlangen. Am 22.3.24 wurde ein Exploit dieser Lücke als Proof of Concept auf Github veröffentlicht.
Die Schwachstelle CVE-2023-36424 besteht darin, dass der clfs.sys-Treiber Daten, die von NTFS-Reparse-Punkten kommen, nicht ordnungsgemäß validiert. Dies könnte es einem Angreifer potenziell ermöglichen, den Kernel Pool zu korrumpieren und höhere Systemprivilegien zu erlangen.
Die Schwachstelle betrifft die Version 10.0.22621.2134 des clfs.sys-Treibers (Windows 11 22H2 22621.2215). Eine bestimmte Funktion (HsmFltProcessHSMControl), die für die Verarbeitung von Cloud-Filter-FSCTLs verantwortlich ist, ruft letztendlich eine andere Funktion auf, die in der Verarbeitung unsicher ist und die Integrität des Systems gefährden kann.
Die technische Analyse zeigt, dass die Validierung innerhalb des HsmpRpValidateBuffer unzureichend ist, da sie nur die ersten 10 Datensätze überprüft. Ein Angreifer könnte diesen Mangel ausnutzen, um willkürliche Kernel-Adressen zu beschreiben und letztendlich Systemtokens in einem Zielprozess zu überschreiben.
Microsoft Windows-Nutzer sind dringend dazu aufgefordert, ihre Systeme auf die neueste Version zu aktualisieren, um sich vor möglichen Ausnutzungen dieser Schwachstelle zu schützen.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: