Windows Kernel Pool Treiber Sicherheitslücke erlaubt Privilege Escalation

Am 14. November 2023 veröffentlichte Microsoft ein Security Advisory zu einer schweren Sicherheitslücke die den Windows Kernel Pool Teriber (clfs.sys), die es einem Angreifer ermöglichen könnte, erweiterte Berechtigungen auf einem anfälligen System zu erlangen. Am 22.3.24 wurde ein Exploit dieser Lücke als Proof of Concept auf Github veröffentlicht.

Die Schwachstelle CVE-2023-36424 besteht darin, dass der clfs.sys-Treiber Daten, die von NTFS-Reparse-Punkten kommen, nicht ordnungsgemäß validiert. Dies könnte es einem Angreifer potenziell ermöglichen, den Kernel Pool zu korrumpieren und höhere Systemprivilegien zu erlangen.

Die Schwachstelle betrifft die Version 10.0.22621.2134 des clfs.sys-Treibers (Windows 11 22H2 22621.2215). Eine bestimmte Funktion (HsmFltProcessHSMControl), die für die Verarbeitung von Cloud-Filter-FSCTLs verantwortlich ist, ruft letztendlich eine andere Funktion auf, die in der Verarbeitung unsicher ist und die Integrität des Systems gefährden kann.

Die technische Analyse zeigt, dass die Validierung innerhalb des HsmpRpValidateBuffer unzureichend ist, da sie nur die ersten 10 Datensätze überprüft. Ein Angreifer könnte diesen Mangel ausnutzen, um willkürliche Kernel-Adressen zu beschreiben und letztendlich Systemtokens in einem Zielprozess zu überschreiben.

Microsoft Windows-Nutzer sind dringend dazu aufgefordert, ihre Systeme auf die neueste Version zu aktualisieren, um sich vor möglichen Ausnutzungen dieser Schwachstelle zu schützen.

Related Posts

Kritische Sicherheitslücke in Fortra FileCatalyst Workflow entdeckt

Am 13.3.24 wurde eine kritische Sicherheitslücke in der Managed File Transfer (MFT)-Softwarelösung FileCatalyst Workflow von Fortra veröffentlicht. Diese Schwachstelle ermöglicht es einem entfernten, nicht authentifizierten Angreifer, eine Remote-Code-Ausführung (RCE) auf dem Webserver durch Ausnutzung einer Directory-Traversal-Schwachstelle zu erlangen.

Read More

Container Escape Schwachstelle in Podman und Buildah entdeckt

Am 18.03.2024 ist eine Container Escape Schwachstelle bei Podman und Buildah bekannt geworden. Die Sicherheitslücke CVE-2024-1753 ermöglicht es einem Container, seine Beschränkungen zu umgehen und auf das Dateisystem des Hostsystems zuzugreifen. Dies eröffnet Möglichkeiten für weitreichende Angriffe auf das Hostsystem, die dazu führen können, dass Angreifer vollständige Kontrolle über den Container Host erlangen.

Read More

Telerik Report Server: kritische Schwachstelle führt zu RCE

20.3.2024: Telerik Report Server in Versionen vor 2024 Q1 (10.0.24.130) sind von einer kritischen Schwachstelle betroffen und sollten dringend gepatcht werden. Die Schwachstelle CVE-2024-1800 (CVSS-Score: 9.9/10) wird als Remote Code Execution (RCE) klassifiziert, was bedeutet, dass ein Angreifer potenziell die vollständige Kontrolle über ein betroffenes System aus der Ferne übernehmen könnte. Die Schwachstelle ist vom Typ Insecure Deserialization, was bedeutet, dass Angreifer wahrscheinlich Payloads in das System einspielen können, ohne dass diese auf versteckte Malware und bösartigen Code geprüft werden.

Read More