Security Week 2316: уязвимость zero-day в Microsoft Windows

В феврале 2023 года исследователи «Лаборатории Касперского» обнаружили атаки на организации в Северной Америке, на Ближнем Востоке и в странах Азии, в ходе которых использовался эксплойт для уязвимости в подсистеме Common Log File System ОС Windows. В ходе анализа обфусцированного вредоносного кода исследователи нашли новую уязвимость в CLFS, которой был присвоен идентификатор CVE-2023-28252. Активно эксплуатируемую уязвимость закрыли 11 апреля в рамках ежемесячного выпуска патчей от Microsoft.



Это далеко не первая уязвимость в CLFS. В базе CVE начиная с 2018 года есть 32 записи о проблемах в этой подсистеме Windows, впервые реализованной в Windows Server 2003 и Windows Vista. Из них как минимум три активно эксплуатировались на момент обнаружения, то есть относились к классу zero-day. Как отмечают эксперты «Лаборатории Касперского», причины проблем заключаются как в «возрасте» подсистемы, так и в ее достаточно широких возможностях. Формат файлов base log file (.blf) официально не документирован (но, например, здесь опубликованы результаты реверс-инжиниринга). При этом в них хранится чувствительная информация, включая указатели памяти. Модификация этих данных, соответственно, может привести к выполнению вредоносного кода.
Читать дальше →

Источник: Хабрахабр