卡巴斯基实验室最近的一项研究发现，自 2022 年 6 月以来，攻击者一直在积极利用Windows CLFS 驱动程序中的一系列漏洞，作为复杂黑客攻击的一部分。总共在五个不同的 CLFS 驱动程序中发现了漏洞，包括 CVE-2022-24521 、 CVE-2022-37969 、 CVE-2023-23376 和 CVE-2023-28252 。

CLFS 自 Windows Server 2003 R2 和 Windows Vista 开始使用，是一种在操作系统内核级别运行的复杂日志机制。该系统的关键要素是基本日志文件（BLF），其中包含大量元数据。

在研究过程中，卡巴斯基实验室专家发现了 BLF 文件格式的严重缺陷。它们由内核内存结构组成，包括内存指针，这增加了漏洞的风险。自2018年以来，已有30多个类似的CLFS漏洞被修复，证实这是一个真正的安全威胁。

对 BLF 格式的详细研究表明，此类文件由存储在块中的记录组成。这些块具有复杂的结构，包括标头和偏移数组。

尽管 CLFS 已针对最佳性能进行了优化，但其复杂性和遗留代码是导致漏洞的因素。块内偏移错误可能会导致严重后果，包括攻击者的权限升级。

该研究强调了仔细设计和维护安全系统的重要性，尤其是关键操作系统组件。关于 CLFS 安全性的问题需要进一步关注，并且可能需要彻底重新思考数据保护方法。

---

转自安全客，原文链接：https://www.anquanke.com/post/id/292135

封面来源于网络，如有侵权请联系删除