研究人员详细介绍了上个月修补的窗口零日漏洞

已经出现了有关Windows通用日志文件系统( CLFS )中现已修补的安全漏洞的详细信息，攻击者可利用该漏洞在受损计算机上获得提升权限。

该问题被跟踪为CVE – 2022 – 37969 ( CVSS评分: 7.8分)，由微软在其2022年9月的Patch周二更新中解决，同时也注意到它在野外被积极开发。

该公司在其咨询中指出，”攻击者必须已经拥有访问和在目标系统上运行代码的能力”。这种技术不允许在攻击者在目标系统上还不具备这种能力的情况下远程代码执行。

它还归功于来自CrowdStrike、DBAPPSecurity、美国麦迪安网路安全公司和Zscaler的研究人员报告了漏洞，而没有深入了解攻击的性质。

现在，Zscaler ThreatLabz的研究团队已经披露，它在2022年9月2日的当天零时捕获了一次现场攻击。

网络安全公司在与黑客新闻共享的一份根本原因分析报告中指出，造成该漏洞的原因是CLFS . sys中的基本日志文件( BLF )的基本记录头中的字段cbSymbolZone缺乏严格的界限检查。

如果将字段cbSymbolZone设置为无效偏移量，则会在无效偏移量处发生越界写操作。

CLFS是一种通用的日志记录服务，可供以用户模式或内核模式运行的软件应用程序使用，以记录数据和事件并优化日志访问。

与CLFS相关的一些用例包括联机事务处理( OLTP )、网络事件日志记录、合规性审计和威胁分析。

根据Zscaler的说法，该漏洞根源于一个名为基记录的元数据块，该元数据块存在于一个基日志文件中，它是使用CreateLogFile ( )函数创建日志文件时生成的。

Crowdstrike首席架构师Alex约内斯库表示，” [ Base Record ]包含符号表，这些符号表存储与Base Log File相关的各种客户端、容器和安全上下文的信息，以及这些信息的会计信息”。

因此，通过巧尽心思构建的基本日志文件成功利用CVE – 2022 – 37969可能导致内存损坏，进而以可靠的方式诱发系统崩溃( aka蓝色屏幕的死亡或BSoD)。

也就是说，系统崩溃只是利用漏洞的结果之一，因为它也可以被武器化以实现权限提升。

 Zscaler进一步提供了可用的概念证明( PoC )指令来触发安全漏洞，使得Windows用户必须升级到最新版本以减轻潜在威胁。