CVE-2022-24521 Windows CLFS本地提权漏洞分析

最新推荐文章于 2023-08-23 15:12:21 发布
最新推荐文章于 2023-08-23 15:12:21 发布
阅读量524 收藏
点赞数
文章标签: 网络 web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/text2207/article/details/128797511
版权

简介

CLFS全称为Common Log File System,即通用日志文件系统,自 Windows Vista 和 Windows Server 2003
R2中被引入用于构建高性能事务日志以来,使用者可以通过CLFS提供的API对日志进行创建、存储、读取等操作。在过去几年内,CLFS中出现过诸多漏洞,其中不乏有已经被在野利用的漏洞,CVE-2022-24521是微软4月修复的一个CLFS.sys驱动程序中的在野利用漏洞,本文将从介绍CLFS基本结构开始,对CVE-2022-24521漏洞进行分析,希望能够帮助读者了解CLFS以及其带来的不安全性。

**01 **CLFS前置知识

在分析CLFS漏洞之前需要了解CLFS日志文件的基本数据结构,在此方面笔者更多地得益于ionescu007的精彩分享[1]。用户可通过CreateLogFile函数来创建日志文件,函数执行后会在本地创建一个同名的后缀为.blf的日志文件,CLFS会将文件的数据加载进内存中进行解析处理。每个日志块以日志块头部_CLFS_LOG_BLOCK_HEADER开始,其定义为:

typedef struct _CLFS_LOG_BLOCK_HEADER  
{  
UCHAR MajorVersion;  
UCHAR MinorVersion;  
UCHAR Usn;  
CLFS_CLIENT_ID ClientId;  
USHORT TotalSectorCount;  
USHORT ValidSectorCount;  
ULONG Padding;  
ULONG Checksum;  
ULONG Flags;  
CLFS_LSN CurrentLsn;  
CLFS_LSN NextLsn;  
ULONG RecordOffsets[16];  
ULONG SignaturesOffset;  
} CLFS_LOG_BLOCK_HEADER, *PCLFS_LOG_BLOCK_HEADER;

这里重点关注下Checksum、RecordOffsets和SignaturesOffset,Checksum是该日志块数据的校验和,在读取数据时会对该数据进行校验,采用的是CRC32的校验方式,对应函数为CCrc32::ComputeCrc32:

__int64 __fastcall CCrc32::ComputeCrc32(const unsigned __int8 *const data, int size)  
{  
v2 = 0i64;  
v3 = size;  
for ( i = -1; v3; --v3 )  
{  
v5 = data[v2];  
v2 = (v2 + 1);  
i = (i >> 8) ^ CCrc32::m_rgCrcTable[i ^ v5];  
}  
return ~i;  
}

RecordOffsets保存每一个记录的偏移值,第一个记录与BlockHeader相连,偏移为sizeof(CLFS_LOG_BLOCK_HEADER),也就是0x70;SignaturesOffset字段保存了一块内存的偏移值,日志在编码时每0x200字节的最后两个字节将被签名所覆盖,被覆盖前的数据将存放在SignaturesOffset字段所计算偏移的内存中:

do  
{  
DataStore += 2i64;  
v16 = 0x20;  
v17 = 0x40;  
if ( *(record + 4) - 1 != v15 )  
v16 = 0;  
if ( v15 )  
v17 = 0;  
v18 = v17 | v16;  
v19 = v15 << 9;  
LOBYTE(Signatures) = a4 | v18;  
++v15;  
*(DataStore - 2) = *(v19 + record + 0x1FE);// store previous data  
*(v19 + record + 0x1FE) = Signatures;     // write Signatures  
}  
while ( v15 < v10 );  
v12 = *(record + 0x10);

当解码时再将这段内存中保存的数据写回到原来的区域,编码和解码对应的函数分别为ClfsEncodeBlock和ClfsDecodeBlock。

接下来是日志文件的元数据块,在日志文件中有6个不同的元数据块,分别为Control Record、Base Record、Truncate
Record以及三个对应的shadow
blocks。在每个元数据块开始也会有一个_CLFS_LOG_BLOCK_HEADER用来保存一些基本信息。Control Record的定义为:

typedef struct _CLFS_CONTROL_RECORD  
{  
CLFS_METADATA_RECORD_HEADER hdrControlRecord;  
ULONGLONG ullMagicValue;  
UCHAR Version;  
CLFS_EXTEND_STATE eExtendState;  
USHORT iExtendBlock;  
USHORT iFlushBlock;  
ULONG cNewBlockSectors;  
ULONG cExtendStartSectors;  
ULONG cExtendSectors;  
CLFS_TRUNCATE_CONTEXT cxTruncate;  
USHORT cBlocks;  
ULONG cReserved;  
CLFS_METADATA_BLOCK rgBlocks[ANYSIZE_ARRAY];  
} CLFS_CONTROL_RECORD, *PCLFS_CONTROL_RECORD;

其中_CLFS_METADATA_BLOCK定义为:

typedef struct _CLFS_METADATA_BLOCK  
{  
union  
{  
PUCHAR pbImage;  
ULONGLONG ullAlignment;  
};  
ULONG cbImage;  
ULONG cbOffset;  
CLFS_METADATA_BLOCK_TYPE eBlockType;  
} CLFS_METADATA_BLOCK, *PCLFS_METADATA_BLOCK;

这里保存了元数据块的大小、偏移、类型等重要数据。

Base Record定义为:

typedef struct _CLFS_BASE_RECORD_HEADER  
{  
CLFS_METADATA_RECORD_HEADER hdrBaseRecord;  
CLFS_LOG_ID cidLog;  
ULONGLONG rgClientSymTbl[CLIENT_SYMTBL_SIZE];  
ULONGLONG rgContainerSymTbl[CONTAINER_SYMTBL_SIZE];  
ULONGLONG rgSecuritySymTbl[SHARED_SECURITY_SYMTBL_SIZE];  
ULONG cNextContainer;  
CLFS_CLIENT_ID cNextClient;  
ULONG cFreeContainers;  
ULONG cActiveContainers;  
ULONG cbFreeContainers;  
ULONG cbBusyContainers;  
ULONG rgClients[MAX_CLIENTS_DEFAULT];  
ULONG rgContainers[MAX_CONTAINERS_DEFAULT];  
ULONG cbSymbolZone;  
ULONG cbSector;  
USHORT bUnused;  
CLFS_LOG_STATE eLogState;  
UCHAR cUsn;  
UCHAR cClients;  
} CLFS_BASE_RECORD_HEADER, *PCLFS_BASE_RECORD_HEADER;

其中cActiveContainers保存了当前活跃的容器数,rgContainers数组则保存容器上下文的偏移值。用户可以使用AddLogContainer函数向日志中添加容器,容器对应的上下文结构为:

typedef struct _CLFS_CONTAINER_CONTEXT  
{  
CLFS_NODE_ID cidNode;  
ULONGLONG cbContainer;  
CLFS_CONTAINER_ID cidContainer;  
CLFS_CONTAINER_ID cidQueue;  
union  
{  
CClfsContainer* pContainer;  
ULONGLONG ullAlignment;  
};  
CLFS_USN usnCurrent;  
CLFS_CONTAINER_STATE eState;  
ULONG cbPrevOffset;  
ULONG cbNextOffset;  
} CLFS_CONTAINER_CONTEXT, *PCLFS_CONTAINER_CONTEXT;

重点关注CClfsContainer字段,该字段在内存中指向CClfsContainer类的对象指针,因为这是一个内核指针,所以不会返回给磁盘的日志文件中,以避免信息泄露。当在内存加载时,CClfsBaseFilePersisted::LoadContainerQ函数中会调用容器类构造函数CClfsContainer::CClfsContainer将返回的对象指针赋值给该字段。

**02 **漏洞分析

CVE-2022-24521漏洞点位于CLFS.sys的CClfsBaseFilePersisted::LoadContainerQ函数中,当容器队列cidQueue值为-1时,会调用CClfsBaseFilePersisted::RemoveContainer函数,而由于CClfsBaseFilePersisted::RemoveContainer内部会引用pContainer字段,为防止用户在磁盘上破坏此数据,系统有意在调用前将pContainer字段置为0:

v41 = v38->cidQueue;  
if ( v41 == -1 )  
{  
v38->pContainer = 0i64;  
v20 = CClfsBaseFilePersisted::RemoveContainer(this, v30);  
...  
}

在CClfsBaseFilePersisted::RemoveContainer经过取值与校验后将调用CClfsBaseFilePersisted::FlushImage函数,而后将调用pContainer对象中存储的函数:

v11 = CClfsBaseFilePersisted::FlushImage(this);  
v9 = v11;  
v16 = v11;  
if ( v11 >= 0 )  
{  
pContainer = containerContext->pContainer;  
if ( pContainer )  
{  
containerContext->pContainer = 0i64;  
ExReleaseResourceForThreadLite(*(this + 4), KeGetCurrentThread());  
v4 = 0;  
(*(*pContainer + 0x18i64))(pContainer);  
(*(*pContainer + 8i64))(pContainer);  
v9 = v16;  
goto LABEL_20;  
}  
goto LABEL_19;  
}

查看pContainer对象的构造函数CClfsContainer::CClfsContainer,可以看到*pContainer处存放其虚函数表:

*this = &CClfsContainer::`vftable';

查看虚函数表可以看到+0x18,+0x8偏移处分别为CClfsContainer::Remove与CClfsContainer::Release函数。继续跟进CClfsBaseFilePersisted::FlushImage函数,其内部将执行CClfsBaseFilePersisted::WriteMetadataBlock函数,在该函数中,首先会遍历每一个容器上下文,将pContainer先保存后置为0:

for ( i = 0; i < 0x400; ++i )  
{  
v20 = CClfsBaseFile::AcquireContainerContext(this, i, &containerContext);  
v15 = this + 8 * i;  
if ( v20 >= 0 )  
{  
*(v15 + 0x38) = containerContext->pContainer;  
containerContext->pContainer = 0i64;  
CClfsBaseFile::ReleaseContainerContext(this, &containerContext);  
}  
else  
{  
*(v15 + 0x38) = 0i64;  
}  
}

然后调用ClfsEncodeBlock函数,对数据进行编码,此时记录中每0x200字节的后两个字节将被写入到SignaturesOffset指向的内存中,接着调用CClfsContainer::WriteSector函数,然后调用ClfsDecodeBlock函数对数据进行解码,并将之前保存的pContainer值重新写回:

ClfsEncodeBlock(RecoderHeader, *(RecoderHeader + 4) << 9, *(RecoderHeader + 2), 0x10u, 1u);  
v10 = CClfsContainer::WriteSector(  
*(this + 0x13),  
*(this + 0x14),  
0i64,  
*(*(this + 6) + 24 * v8),  
*(RecoderHeader + 4),  
&v23);  
if ( v7 )  
{  
ClfsDecodeBlock(RecoderHeader, *(RecoderHeader + 4), *(RecoderHeader + 2), 0x10u, &v21);  
v17 = (this + 0x1C0);  
do  
{  
if ( *v17 && CClfsBaseFile::AcquireContainerContext(this, v6, &containerContext) >= 0 )  
{  
containerContext->pContainer = *v17;  
CClfsBaseFile::ReleaseContainerContext(this, &containerContext);  
}  
++v6;  
++v17;  
}  
while ( v6 < 0x400 );  
}

以上流程看似不存在安全问题,但实际上CClfsBaseFile::AcquireContainerContext函数并不能执行成功,因为在执行CClfsBaseFilePersisted::FlushImage前会将rgcontainer数组中该容器偏移值置0:

CLFS!CClfsBaseFilePersisted::RemoveContainer+0xb9:  
fffff807`807b6ef9 4283a4a72803000000 and   dword ptr [rdi+r12*4+328h],0 ds:002b:ffffde8e`b6d12398=00001528  
  
CLFS!CClfsBaseFile::AcquireContainerContext+0x7f:  
fffff807`807c245f 8b94b928030000  mov     edx,dword ptr [rcx+rdi*4+328h] ds:002b:ffffde8e`b6d12398=00000000

所以该pContainer指针并不能得到保护,而在调用ClfsEncodeBlock函数编码阶段,由于没有对_CLFS_LOG_BLOCK_HEADER中的SignaturesOffset字段进行合法校验,用户可以提前修改SignaturesOffset使其与_CLFS_CONTAINER_CONTEXT中pContainer指针相交,导致该字段指向的内存在编码时被写回覆盖pContainer指针,当FlushImage函数执行完毕,将调用pContainer的虚函数,攻击者通过对其进行伪造,可以达到任意函数调用的目的。对于漏洞利用,可以查看在虚函数调用过程前后的汇编代码:

mov     rax, [rdi]  
mov     rax, [rax+18h]  
mov     rcx, rdi  
call    cs:__guard_dispatch_icall_fptr  
mov     rax, [rdi]  
mov     rax, [rax+8]  
mov     rcx, rdi  
call    cs:__guard_dispatch_icall_fptr

rdi的值为pContainer可以由攻击者通过漏洞进行伪造控制,由于未开启SMAP,系统允许对用户内存空间进行访问,同时可以看到第一个参数rcx为rdi,所以只需要一些耐心寻找到合理的gadget,便可以实现权限提升。

在微软发布的四月补丁中,在CClfsBaseFilePersisted::LoadContainerQ函数执行开始加入了CClfsBaseFile::ValidateRgOffsets函数以此检测SignaturesOffset字段是否与其他上下文相交。

参考

[1] https://github.com/ionescu007/clfs-docs

最后

分享一个快速学习【网络安全】的方法,「也许是」最全面的学习方法:
1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)

2、渗透测试基础(一周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础(一周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)

4、计算机网络基础(一周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)

在这里插入图片描述

恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;如果等保模块学的好,还可以从事等保工程师。薪资区间6k-15k。

到此为止,大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗?

想要入坑黑客&网络安全的朋友,给大家准备了一份:282G全网最全的网络安全资料包免费领取!
扫下方二维码,免费领取

有了这些基础,如果你要深入学习,可以参考下方这个超详细学习路线图,按照这个路线学习,完全够支撑你成为一名优秀的中高级网络安全工程师:

高清学习路线图或XMIND文件(点击下载原文件)

还有一些学习中收集的视频、文档资源,有需要的可以自取:
每个成长路线对应板块的配套视频:


当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。

因篇幅有限,仅展示部分资料,需要的可以【扫下方二维码免费领取】

Jinmindong
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【微软漏洞分析】MS10-015 Windows 内核异常处理程序漏洞(CVE-2010-0232)
重新启程
10-31 364
微软漏洞分析序列,通过补丁分析找出问题点
CVE-2023-28252 CLFS Windows 本地提权漏洞 POCC 源码
08-23
卡巴斯基披露该在野0day提权漏洞是一个越界写入(增量)漏洞,当目标系统试图扩展元数据块时被利用来获取system权限———Windows中最高的用户权限级别。该漏洞允许改变基础日志文件,迫使系统将基础日志文件中的假...
CVE-2023-28252 CLFS Windows 本地提权漏洞 POC
【Rainbow Network Technology co., LTD】
08-23 895
CVE-2023-28252 是一个存在于 clfs.sys(通用日志文件系统驱动程序)中的越界写入漏洞
CVE-2023-28252 Windows Common Log File(CLFS)驱动程序中的漏洞
ptsecurity的博客
05-02 1689
Microsoft已经公布了4月份关于修复其产品中安全问题的报告。根据我们对该报告的分析,我们确定了趋势性的漏洞。这次有两个。
windows常见漏洞分析(二)
jian436的专栏
10-13 981
Windows提权漏洞CVE-2022-26923分析与复现
C20220511的博客
06-24 3181
Windows系统的Active Directory证书服务(CS)在域上运行时,由于机器账号中的dNSHostName属性不具有唯一性,域中普通用户可以将其更改为高权限的域控机器账号属性,然后从Active Directory证书服务中获取域控机器账户的证书,导致域中普通用户权限提升为域管理员权限。这一漏洞最早由安全研究员Oliver Lyak发现并公开分析过程和POC,微软在2022年5月的安全更新中对其进行了修补。...
CVE-2023-21768 Windows AFD 本地提权漏洞 C 源码
最新发布
08-23
CVE-2023-21768 Windows Ancillary Function Driver (AFD) afd.sys本地提权漏洞。 AFD (Ancillary Function Driver)是Windows操作系统中的一个内核模式驱动程序。 漏洞原理: 该漏洞存在于AFD驱动程序处理用户...
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC
08-10
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC CVE-2022-33891 影响版本 Apache spark version 3.1.1版本 Apache Spark version>= 3.3.0 修复方案 1.建议升级到安全版本,参考官网链接: ...
CVE-2022-37969 Windows 本地权限提升 PoC
08-23
CVE-2022-37969 是通用日志文件系统驱动 clfs 中的越界写入漏洞,通过该漏洞,可以完成提权。 // // Understanding the CVE-2022-37969 Windows Common Log File System Driver Local Privilege Escalation.  // ...
CVE-2022-21882 Win32k内核提权漏洞深入分析
二狗的博客
01-30 685
CVE-2022-21882是对CVE-2021-1732漏洞的绕过,属于win32k驱动程序中的一个类型混淆漏洞。攻击者可以在user_mode调用相关的GUIAPI进行内核调用,如xxxMenuWindowProc、xxxSBWndProc、xxxSwitchWndProc、xxxTooltipWndProc等,这些内核函数会触发回调xxxClientAllocWindowClassExtraBytes。攻击者可以通过hook。
CVE-2022-0185 价值$3w的 File System Context 内核整数溢出漏洞利用分析
panhewu9919的博客
04-11 1581
漏洞作者在kctf环境上成功完成了提权和逃逸,并获得了 google kCTF vulnerability reward program 项目奖励的 31,337 美金的奖励(该项目对能从有nsjail 沙箱的Linux内核提权,奖励31,337 到 91,337 美元,由于syzbot平台上有人比作者早6天先发现了这个漏洞,作者并非首次发现该漏洞,只是完成了kctf提权,便获得了最低奖金)。 影响版本:Linux-v5.1~v5.16.2。5.1-rc1 引入漏洞,Linux-v5.16.2已修补 ,由
【权限提升】Windows Server 2022 21H2 本地域权限提升漏洞(PetitPotam)
做自己喜欢的事,并将其发挥到极致!
03-23 914
Windows Server 2022 Standard/Datacenter 21H2 存在本地域权限提升漏洞,攻击者可通过在受害主机上执行特定可执行程序并对普通用户权限提升至 nt authority system ,进而执行其他操作。
CVE-2022-21882复现
Misaka10046的博客
05-10 1352
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
字节跳动内推
HWHXY的博客
03-23 584
字节跳动内推
记录一次vulhub:Spring Framework远程代码执行漏洞复现(CVE-2022-22965)
sszsNo1的博客
06-29 187
vulhub:Spring Framework远程代码执行漏洞复现(CVE-2022-22965)
CVE-2022-23222 漏洞复现
qq_43472789的博客
06-09 608
2022年1月14日,一个编号为CVE-2022-23222的漏洞被公开,这是一个位于eBPF验证器中的漏洞漏洞允许eBPF程序在未经验证的情况下对特定指针进行运算,通过精心构造的代码,可以实现任意内核内存读写,而这将会造成本地提权的风险。由于内核在执行用户提供的 eBPF 程序前缺乏适当的验证,攻击者可以利用这个漏洞获取 root 权限。该漏洞是由于 Linux 内核的 eBPF 验证器存在一个空指针漏洞,没有对*_OR_NULL指针类型进行限制,允许这些类型进行指针运算。
春秋云镜 CVE-2022-25411
qq_22002773的博客
07-04 441
春秋云镜 CVE-2022-25578
如何分析 CVE-2022-24521 Windows CLFS 本地提权漏洞
03-25
CVE-2022-24521Windows中的本地提权漏洞,影响WindowsCLFS(Common Log File System)驱动程序。该漏洞是由于CLFS驱动程序中存在的缺陷导致攻击者可以提升其进程的特权级别。 攻击者可以利用此漏洞在受感染的计算机上执行任意代码,绕过安全限制并获得系统管理员权限,以便进行高级攻击活动。 此漏洞是一个本地漏洞,攻击者需要在计算机上获得访问权限,才能利用此漏洞。如果攻击者不能访问计算机,则他们不能利用此漏洞。 建议用户尽快安装适当的安全补丁,以修复这个漏洞。如果暂时无法安装补丁,建议用户使用以下步骤加强安全措施: 1. 限制访问计算机的用户,并确保仅授予必要的访问权限。 2. 防止攻击者鱼塘式攻击,使用最新的反病毒软件和防火墙技术保护计算机。 3. 在敏感数据上加密存储,以防止数据泄露。 4. 使用最新的操作系统,软件和硬件,因为这些是对安全性最新漏洞可能会修复的要素。 5. 定期进行安全审查和升级,以确保计算机和数据得到最新的保护和防护。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值