Se ha descubierto una vulnerabilidad crítica en el controlador del sistema de archivos de registro común (CLFS) para Windows 11. Esta falla permite a los usuarios locales obtener privilegios elevados al explotar ciertas funciones dentro del sistema.
El problema está en la función CClfsBaseFilePersisted::WriteMetadataBlock, que no verifica correctamente el valor de retorno de ClfsDecodeBlock. Esta supervisión podría permitir que un atacante corrompa las estructuras internas de CLFS, lo que podría provocar una escalada de privilegios.
Además, esta vulnerabilidad podría usarse para filtrar direcciones del grupo de kernel y evitar ciertas mitigaciones planificadas para Windows 11 24H2. Sin embargo, la prueba de concepto (PoC) TyphoonPWN 2024 está dirigida a Windows 11 23H2, por lo que este método no se utiliza.
Un investigador de seguridad independiente identificó esta vulnerabilidad y le otorgó el puesto número 1 en TyphoonPWN 2024. Las pruebas en la última versión de Windows 11 muestran que la vulnerabilidad aún existe. No se proporciona ningún número CVE ni detalles del parche.
Seminario web gratuito sobre cómo proteger su pequeña empresa de las ciberamenazas avanzadas -> Mírelo aquí
Proceso de explotación
El sistema CLFS gestiona estructuras y archivos de registro sin exponer datos confidenciales, como las direcciones del kernel. Esta vulnerabilidad explota los procesos de codificación y decodificación que gestionan los bloques de metadatos. Al manipular estos procesos, un atacante puede corromper datos confidenciales dentro de la estructura CLFS y lograr una escalada de privilegios.
Un atacante podría desencadenar esta vulnerabilidad al duplicar estructuras de contenedores y clientes dentro de un sistema CLFS. Esto implica crear un archivo de registro y modificar directamente su estructura para codificar sumas de verificación y etiquetas.
El exploit implica varios pasos.
Crear archivos de registro y agregar contenedores. Manipular estructuras de archivos para controlar etiquetas de sector. Prepare una estructura CClfsContainer falsa en el espacio de usuario. Fuga de información del sistema, como direcciones del kernel y subprocesos de proceso. Modifica la configuración del sistema para evitar los controles de seguridad y escalar privilegios.
Un exploit exitoso podría permitir al atacante realizar acciones privilegiadas en el sistema, como generar procesos con permisos elevados.
Esta vulnerabilidad resalta un grave problema de seguridad dentro del controlador CLFS en Windows 11. Se anima a los usuarios a permanecer atentos y aplicar las actualizaciones disponibles de Microsoft para reducir los riesgos potenciales.
Cuando nos comunicamos con Microsoft, nos dijeron que esta vulnerabilidad es un duplicado y ya se ha solucionado. Sin embargo, los investigadores informan que el exploit sigue funcionando en la última versión de Windows 11. La empresa no proporciona números CVE ni información de parches.
Proteja su red y sus terminales con Under Defense MDR: solicite una demostración gratuita
