CVE-2024-49138 | آسیب‌پذیری CLFS در ویندوز با PoC و ارتقای دسترسی به SYSTEM

آسیب‌پذیری CVE-2024-49138 یک نقص امنیتی حیاتی در درایور Common Log File System (CLFS) ویندوز است که به مهاجمان اجازه می‌دهد با بهره‌برداری از سرریز بافر در حافظه heap، سطح دسترسی خود را به SYSTEM ارتقا دهند. این آسیب‌پذیری در دسامبر ۲۰۲۴ به‌عنوان یک zero-day شناسایی شد و توسط مایکروسافت در به‌روزرسانی‌های Patch Tuesday همان ماه اصلاح گردید.

جزئیات فنی آسیب‌پذیری

• شناسه: CVE-2024-49138

• نوع آسیب‌پذیری: سرریز بافر در حافظه heap (CWE-122)

• امتیاز CVSS: ۷.۸ (بالا)

• مؤلفه آسیب‌پذیر: درایور CLFS.sys

• تأثیر: ارتقای سطح دسترسی محلی به SYSTEM

• سیستم‌های آسیب‌پذیر: Windows 10، Windows 11 (نسخه‌های 22H2 و 23H2) و نسخه‌های مختلف Windows Server

• وضعیت بهره‌برداری: فعالانه در محیط‌های واقعی مورد سوءاستفاده قرار گرفته است.

کد اثبات مفهومی (PoC)

محقق امنیتی MrAle_98 یک کد اثبات مفهومی برای این آسیب‌پذیری منتشر کرده است که نحوه بهره‌برداری از آن را نشان می‌دهد. این PoC بر روی Windows 11 نسخه 23H2 آزمایش شده و موفق به ارتقای سطح دسترسی به SYSTEM شده است.

مشاهده PoC در GitHub

توصیه‌های امنیتی

• به‌روزرسانی سیستم: اطمینان حاصل کنید که آخرین به‌روزرسانی‌های امنیتی مایکروسافت را نصب کرده‌اید. برای اطلاعات بیشتر، به راهنمای به‌روزرسانی مایکروسافت مراجعه کنید.
• محدود کردن دسترسی محلی: دسترسی کاربران به سیستم‌هایی که CLFS را اجرا می‌کنند، محدود کنید.
• نظارت بر سیستم: از ابزارهای مانیتورینگ و تشخیص نفوذ برای شناسایی فعالیت‌های مشکوک استفاده کنید.
• آموزش کاربران: کاربران را نسبت به خطرات امنیتی و نحوه شناسایی رفتارهای مشکوک آموزش دهید.

منابع بیشتر

• تحلیل فنی آسیب‌پذیری توسط Tarlogic

• مخزن PoC در GitHub

• راهنمای به‌روزرسانی مایکروسافت