image

Microsoft verhelpt actief aangevallen kwetsbaarheid in CLFS-driver Windows

woensdag 11 december 2024, 09:20 door Redactie, 4 reacties

Tijdens de laatste patchdinsdag van 2024 heeft Microsoft een actief aangevallen kwetsbaarheid in Common Log File System (CLFS) driver van Windows verholpen. Een onderdeel waar in het verleden vaker beveiligingslekken zijn aangetroffen die bij aanvallen zijn ingezet. Afgelopen september kondigde Microsoft nog aan dat het de CLFS-driver beter zou gaan beveiligen tegen aanvallen.

Het CLFS is een Windowsonderdeel dat wordt gebruikt voor logging. Applicaties die logbestanden willen opslaan kunnen er gebruik van maken. In de afgelopen vijf jaar zijn er ruim twintig kwetsbaarheden in CLFS ontdekt. Meerdere daarvan werden actief misbruikt voordat een update van Microsoft beschikbaar was en voor andere verschenen allerlei exploits. Het gaat hier om 'Elevation of Privilege' kwetsbaarheden, waardoor een aanvaller met toegang tot het systeem zijn rechten kan verhogen.

Ook de nu actief aangevallen kwetsbaarheid (CVE-2024-49138) maakt het mogelijk voor een aanvaller die al code op het systeem kan uitvoeren om zijn rechten te verhogen naar die van SYSTEM, waarmee er volledige controle over het systeem wordt verkregen. Microsoft geeft verder geen details over de kwetsbaarheid, die door securitybedrijf CrowdStrike werd gerapporteerd. Het beveiligingslek is in alle ondersteunde versies van Windows aanwezig. De update zal op de meeste systemen automatisch worden geïnstalleerd.

Reacties (4)
11-12-2024, 09:38 door Anoniem
Nou het werd tijd...Microsoft. nl
11-12-2024, 10:53 door Anoniem
Privilege escalation is enkel een probleem als malware weet uit te voeren op een systeem.
En voor de meeste eindgebruikers zal het dan al te laat zijn, aangezien alle interessante bestanden te openen zijn met de rechten die malware al heeft op het moment van uitvoeren.

Persoonlijk heb ik gevonden dat de meeste aanvallen vanuit 3 vectoren komen:
1. websites: een mailtje met een link naar phish/scam/info-stealer website. (of .html bijlage)
2. Macro's: Een document waarbij gebruikers balkjes wegklikken en vervolgens draait er een foute macro.
3. Explorer abuse: bestandsnaam of extensie is gemanipuleerd, lijkt legitiem document, dubbelklik en boem!

Voor nummer 1 moet je training geven, desnoods links filteren/scannen als dat kan.
Nummer 2 is simpel: blokkeer macro's, het liefst een melding naar je SOC met het document voor doorlichting.
En de derde vector is eigenlijk enkel op te lossen door explorer.exe te vervangen voor iets veiligers.
Dat programma is zo vol met gaten en "features" dat je het beter volledig kan vermijden.
12-12-2024, 12:46 door Anoniem
Door Anoniem:

Persoonlijk heb ik gevonden dat de meeste aanvallen vanuit 3 vectoren komen:

3. Explorer abuse: bestandsnaam of extensie is gemanipuleerd, lijkt legitiem document, dubbelklik en boem!

En de derde vector is eigenlijk enkel op te lossen door explorer.exe te vervangen voor iets veiligers.
Dat programma is zo vol met gaten en "features" dat je het beter volledig kan vermijden.

3de kan je oplossen door bekende extensions niet meer automatisch te laten verbergen.

Microsoft zou deze optie standaard weer uit moeten zetten.
ja het is mooier, maar niet veilig
iedere machine machine waar ik op moet werken, zet ik deze optie uit, ivm veiligheid
13-12-2024, 10:22 door Anoniem
Door Anoniem:3de kan je oplossen door bekende extensions niet meer automatisch te laten verbergen.

Microsoft zou deze optie standaard weer uit moeten zetten.
ja het is mooier, maar niet veilig
iedere machine machine waar ik op moet werken, zet ik deze optie uit, ivm veiligheid
Ja, je hebt gelijk, een hoop narigheid kan daarmee voorkomen worden.
Helaas is dat bij LANGE NA niet genoeg als je echt veiligheid nodig hebt.

Er zijn genoeg trucjes die dit omzeilen, en er zijn tal van andere kwetsbaarheden in explorer.exe
Een introducerende lijst:
- rtl-ltr richtings tekens passen zichtbare extensie aan.
- extreem lange namen of speciale tekens passen zichtbare extensie aan.
- uitvoerbare bestanden met niet herkende extensies (ken jij ze allemaal? zeker weten?)
- kwetsbaarheden in het tonen van de bestanden
- internetverbindingen triggeren door bestanden. (zonder uitvoeren)
- en nog veel meer.

Voor gemiddeld gebruik is explorer.exe redelijk veilig als je een beetje oplet en de instellingen goed zet.
Maar de attack surface is gewoon gigantisch, er worden nauwelijks sanity checks gedaan en er is veel legacy code.
Dus als je daadwerkelijke aanvallers tegen moet houden, dan is het gewoon te veel gatenkaas.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.