В драйвере Windows CLFS выявлена новая уязвимость (CVE-2024-49138), которая представляет серьезную угрозу для безопасности системы.

Выявленная в драйвере Windows Common Log File System (CLFS) уязвимость CVE-2024-49138 создает значительный риск для систем Windows. Данная уязвимость нулевого дня (zero-day) позволяет злоумышленникам без взаимодействия с пользователем получить привилегии уровня SYSTEM. Особенно опасной эта уязвимость является для операционной системы Windows 11 версии 23H2.

Уязвимость CVE-2024-49138 относится к типу повышения привилегий (Elevation of Privilege, EoP) и возникает в результате переполнения буфера в куче (heap-based buffer overflow, CWE-122). Согласно Системе оценки уязвимостей (CVSS), данной уязвимости присвоен высокий уровень опасности с оценкой 7.8 баллов.

Для эксплуатации уязвимости требуется локальный доступ к системе, а сложность атаки оценивается как низкая. Это делает уязвимость особенно опасной для организаций с недостаточным уровнем защиты.

Злоумышленники могут воспользоваться данной уязвимостью, создавая вредоносные CLFS лог-файлы. Имея локальные привилегии, они способны эксплуатировать переполнение буфера в драйвере CLFS.sys, выполнять произвольный код и получать полный контроль над системой. Это, в свою очередь, может привести к несанкционированному доступу к данным и дальнейшим атакам внутри сети организации.

Эффективность эксплуатации уязвимости CVE-2024-49138 была подтверждена исследователем безопасности MrAle_98. Данная уязвимость успешно тестировалась на версии Windows 11 23H2 и использует переполнение буфера в драйвере CLFS.sys.

В ответ на эту угрозу Microsoft выпустила обновления безопасности в декабре 2024 года. Организациям настоятельно рекомендуется предпринять следующие меры:

1. Установить обновления безопасности: Убедитесь, что все актуальные обновления применены без задержек.
2. Проверить конфигурации системы: Настройте системы в соответствии с рекомендациями Microsoft по безопасности.
3. Отслеживать индикаторы компрометации: Анализируйте системные журналы для выявления подозрительной активности, связанной с попытками повышения привилегий.

Уязвимость CVE-2024-49138 представляет собой серьезную угрозу, требующую незамедлительных действий со стороны IT-отделов по всему миру. Регулярное обновление систем и усиление мер безопасности позволяют эффективно противостоять подобным угрозам. Кроме того, важно регулярно мониторить состояние сети и предпринимать шаги по повышению уровня безопасности.