Microsoft gaat het Windows Common Log Filesystem (CLFS) beter beveiligen, om zo misbruik door aanvallers te voorkomen, zo heeft het techbedrijf aangekondigd. Het CLFS is een Windowsonderdeel dat wordt gebruikt voor logging. Applicaties die logbestanden willen opslaan kunnen er gebruik van maken. In de afgelopen vijf jaar zijn er 24 kwetsbaarheden in CLFS ontdekt. Meerdere daarvan werden actief misbruikt voordat een update van Microsoft beschikbaar was en voor andere verschenen allerlei exploits.

Het gaat hier om 'Elevation of Privilege' kwetsbaarheden, waardoor een aanvaller met toegang tot het systeem zijn rechten kan verhogen. Volgens Microsoft is het lastig om alle data in een logbestand goed te valideren. Een aanvaller kan hier misbruik van maken door een malafide logbestand te maken of een bestaand logbestand te corrumperen en die bestanden vervolgens door het Common Log Filesystem te laten verwerken, om zo SYSTEM-rechten te krijgen.

Om dergelijke aanvallen te voorkomen heeft Microsoft nu een oplossing bedacht. In plaats van individuele waardes in een logbestand te valideren, zal CLFS straks detecteren of logbestanden zijn aangepast door iets anders dan de CLFS-driver. Hiervoor zal er gebruik worden gemaakt van Hash-based Message Authentication Codes (HMAC), die aan het einde van het logbestand worden toegevoegd.

"Net zoals je de integriteit zou controleren van een bestand dat je downloadt van het internet door de hash of checksum te controleren, kan CLFS de integriteit van logbestanden valideren door de HMAC te berekenen en die te vergelijken met de HMAC opgeslagen in het logbestand. Zolang de aanvaller de encryptiesleutel niet kent, heeft die niet de informatie om een geldige HMAC te produceren die CLFS zal accepteren", legt Microsoft uit. Alleen CLFS en administrators op het systeem hebben toegang tot de sleutel. De nieuwe CLFS-versie komt als eerste beschikbaar in het Windows Insiders Canary channel. Daarbij zal CLFS oude logbestanden naar het nieuwe format overzetten.