CVE-2023-28252 Windows Common Log File(CLFS)驱动程序中的漏洞

已于 2023-05-15 23:54:58 修改
阅读量1.6k 收藏
点赞数
分类专栏: 网络安全  Positive Technologies Microsoft 文章标签: microsoft web安全 网络安全 安全架构
于 2023-05-02 23:13:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ptsecurity/article/details/130468316
版权

​​​​​​​

 

Microsoft 已经公布了4月份关于修复其产品中安全问题的报告。根据我们对该报告的分析,我们确定了趋势性的漏洞。这次有两个。

CLFS是 Microsoft 的一个日志子系统,在用户和内核空间提供一个API,用于创建、写入和读取事件日志。由于这个原因,针对该组件的一个流行的攻击媒介是特权升级。到目前为止,CLFS中至少有43个特权提升类漏洞被报告。CVE-2023-28252漏洞就是其中之一。

一个日志文件包括一个包含元数据的基础日志文件(BLF)和存储实际数据的容器。漏洞发生在操作基础日志文件并试图扩展元数据块时。

该漏洞已被Nokoyawa勒索软件利用,而且 Microsoft 已经确认了该漏洞的利用。CVE-2023-28252 Windows Common Log File(CLFS)驱动程序中的漏洞

CLFS是微软的一个日志子系统,在用户和内核空间提供一个API,用于创建、写入和读取事件日志。由于这个原因,针对该组件的一个流行的攻击媒介是特权升级。到目前为止,CLFS中至少有43个特权提升类漏洞被报告。CVE-2023-28252漏洞就是其中之一。

一个日志文件包括一个包含元数据的基础日志文件(BLF)和存储实际数据的容器。漏洞发生在操作基础日志文件并试图扩展元数据块时。

该漏洞已被Nokoyawa勒索软件利用,而且微软已经确认了该漏洞的利用。该漏洞目前尚未公开。

该怎么办?

📎 要修复该漏洞,请遵循供应商的建议;

 🔍 使用MaxPatrol VM检查节点的CVE-2023-28252漏洞。如果安装了最新的知识库更新,有漏洞的资产将被自动识别;

⏳ 使用 PT Sandbox 检测利用CVE-2023-28252漏洞的恶意软件。

ptsecurity
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2023-28432 MinIO 信息泄露漏洞--漏洞复现10
nnn2188185的博客
04-08 6517
MinIO是美国MinIO公司的一款开源的对象存储服务器, 是一款高性能、分布式的对象存储系统. 它是一款软件产品, 可以100%的运行在标准硬件。即X86等低成本机器也能够很好的运行MinIO。MinIO中存在一处信息泄露漏洞,由于Minio集群进行信息交换的9000端口,在未经配置的情况下通过发送特殊HPPT请求进行未授权访问,进而导致MinIO对象存储的相关环境变量泄露,环境变量中包含密钥信息。泄露的信息中包含登录账号密码。 CVE-2023-28432 CNNVD-202303-1795
CVE-2023-28252 CLFS Windows 本地提权漏洞 POCC 源码
08-23
CVE-2023-28252 是一个存在于 clfs.sys(通用日志文件系统驱动程序)中的越界写入漏洞。 卡巴斯基披露该在野0day提权漏洞是一个越界写入(增量)漏洞,当目标系统试图扩展元数据块时被利用来获取system权限———...
微软CVE-2023-28252漏洞
菜鸟学渗透
04-15 2048
微软最新CVE-2023-28252内核提权漏洞
微软发布了 97 个漏洞的补丁,包括主动勒索软件漏洞
w3cschools的博客
04-13 575
CVE-2023-28252 是继CVE-2022-24521、CVE-2022-37969和CVE-2023-23376(CVSS 评分:7.8)之后仅在过去一年中被滥用的 CLFS 组件中的第四个权限提升漏洞). 自 2018 年以来,CLFS 至少发现了 32 个漏洞CVE-2023-28252 是越界写入(增量)漏洞,当系统尝试扩展元数据块时可以利用该漏洞”,“该漏洞是由对基本日志文件的操作触发的。有趣的是,其中 45 个缺陷是远程代码执行缺陷,其次是 20 个提权漏洞
微软周二修复了零日漏洞
kafankeji的博客
04-13 84
他解释道:“此漏洞的复杂性较低,使用本地攻击向量,只需利用较低的权限,无需与用户交互。它影响2008年以后的Windows Server版本,以及所有版本的Windows 10。Childs解释道:“它允许远程、未经身份验证的攻击者在启用消息队列服务的受影响服务器上以更高的权限运行他们的代码。Zero Day Initiative威胁意识负责人达斯汀·蔡尔兹(Dustin Childs)补充说:“就在两个月前,同一个Windows组件中也打了类似的零日补丁。和2月份一样,目前还不清楚这些攻击有多普遍。
CVE-2023-28252 CLFS Windows 本地提权漏洞 POC
【Rainbow Network Technology co., LTD】
08-23 831
CVE-2023-28252 是一个存在于 clfs.sys(通用日志文件系统驱动程序)中的越界写入漏洞
GitLab 目录遍历漏洞复现(CVE-2023-2825)
qq_34914659的博客
05-30 1901
漏洞存在于GitLab CE/EE版本16.0.0中,当嵌套在至少五个组中的公共项目中存在附件时,可在未经身份验证的情况下通过uploads功能遍历读取任意文件,导致敏感信息泄露。GitLab是一个用于仓库管理系统的开源项目,其使用Git作为代码管理工具,可通过Web界面访问公开或私人项目。社区版(CE)和企业版(EE)的 16.0.0 版本,其它更早的版本几乎都不受影响。1.需要一个嵌套五层以上可公开访问到的group 组并添加项目。步骤四:项目添加完成,添加评论。步骤五:测试访问上传的文件。
漏洞复现】DedeCMS存在文件包含漏洞导致后台getshell(CVE-2023-2928)
做自己喜欢的事,并将其发挥到极致!
05-31 3196
uploads/dede/article_allowurl_edit.php存在缺少对该文件中写入内容的任何过滤是导致该漏洞的因素之一,在5.7.106之前的DedeCMS中发现了一个漏洞。它已被宣布为关键。受此漏洞影响的是文件uploads/dede/article_allowurl_edit.php的未知功能。操纵参数allurls会导致代码注入。可以远程发起攻击获得网站控制权限。
漏洞在GitLab中(CVE-2023-2825)
ptsecurity的博客
06-06 2635
我们想告诉你另一个CVE-2023-2825漏洞,我们认为这是一个趋势性的漏洞。CVSS3.1: 10.0影响到GitLab社区版和企业版16.0.0产品。
CVE-2023-21768 Windows AFD 本地提权漏洞 C 源码
08-23
CVE-2023-21768 Windows Ancillary Function Driver (AFD) afd.sys本地提权漏洞。 AFD (Ancillary Function Driver)是Windows操作系统中的一个内核模式驱动程序。 漏洞原理: 该漏洞存在于AFD驱动程序处理用户...
CVE-2023-6548 和 CVE-2023-65的Citrix Netscaler/ADC-13.0-92.21 最新补丁
01-19
针对CVE-2023-6548 和 CVE-2023-6549 的 NetScaler ADC 和 NetScaler Gateway 的漏洞补丁升级包 CVE-2023-6548 :在管理接口上执行经过身份验证的(低特权)远程代码 CVE-2023-6549:拒绝服务 2、 强烈建议受影响...
OpenSSH(CVE-2023-38408)一键升级修复-OpenSSH9.5p1
10-17
一键备份升级Openssh9.5p1 解决CVE-2023-38408,具体步骤见
CVE-2023-25812 MinIO 存在权限控制不当漏洞(POC)
murphysec的博客
02-23 1803
MinIO 是根据 AGPL v3.0 发布的高性能对象存储框架。 MinIO 影响版本中由于未正确遵守 ByPassGoverance 的拒绝策略,当 S3 存储桶策略配置 Deny statement 为 s3:BypassGovernanceRetention 且 Allow statement 为 s3:* 时, 攻击者可发送包含 X-Amz-Bypass-Governance-Retention: true 标头的恶意请求绕过 MinIO 的治理模式(Governance mode),进而删除
【高危】GitLab CE/EE 16.0.0存在路径遍历漏洞(存在POC)
murphysec的博客
06-07 822
墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业,公司为客户提供完整的软件供应链安全管理平台,围绕SBOM提供软件全生命周期的安全管理,平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。在 GitLab CE/EE 16.0.0版本中 ,在文件上传时未对filename参数进行安全过滤,导致存在路径遍历漏洞,若嵌套在五个组及以上的公共项目中存在附件时,未经身份验证的攻击者可以利用此漏洞读取服务器任意文件。
CVE-2022-24521 Windows CLFS本地提权漏洞分析
Jinmindong
01-30 502
1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)2、渗透测试基础(一周)①渗透测试的流程、分类、标准②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等3、操作系统基础(一周)
【easyx】快速入门——弹球小游戏(第一代)
2301_80224556的博客
05-16 996
我们这一节将结合动画和键盘交互的知识来做一个小游戏。
微软Edge
最新发布
啊常的博客
05-19 445
微软Edge是一款基于Chromium开源项目的网页浏览器,旨在提供更快的网页加载速度、更高的安全性和更好的用户体验。它支持多种操作系统,包括Windows、macOS、Android和iOS,能够满足不同用户的需求。Edge浏览器拥有多项实用功能,如分屏、网页捕获、集成的PDF查看器、语音识别功能等,这些功能增强了用户在工作、学习和娱乐等方面的体验。
cve-2023-44313漏洞
02-03
CVE-2023-44313是一个安全漏洞,其涉及到某个特定软件或系统的代码中存在的问题。该漏洞可能导致攻击者利用该软件或系统的弱点,来执行恶意代码或获取未授权的访问权限。 对于CVE-2023-44313漏洞,它可能具有多种...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值