Exploitation Zero-Day dans le système de fichiers de journaux communs (CLFS) de Windows

ISGroup Cybersecurity

CVE-2024-49138 est une vulnérabilité zero-day dans le pilote Windows Common Log File System (CLFS), qui permet aux attaquants d’élever leurs privilèges jusqu’au niveau SYSTEM. Cette faille activement exploitée, avec un score CVSS de 7.8, découle d’une validation incorrecte des données au sein du CLFS, qui prend en charge les services de journalisation pour les opérations en mode utilisateur et noyau.

Les opérateurs de ransomwares utilisent de plus en plus fréquemment les vulnérabilités d’élévation de privilèges du CLFS pour mener des campagnes rapides et destructrices, facilitant le mouvement latéral, le vol de données, le chiffrement et l’extorsion. La vulnérabilité est actuellement exploitée et son inclusion dans le catalogue des vulnérabilités exploitées connues (Known Exploited Vulnerabilities) de la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis souligne l’urgence d’adopter des mesures d’atténuation.

Date16/12/2024 15:00:20
Informations
  • Tendance
  • Correctif disponible
  • Exploitation active

Résumé technique

Cette vulnérabilité permet aux attaquants d’exploiter les API Windows pour manipuler ou corrompre les fichiers journaux du CLFS, conduisant potentiellement à une élévation de privilèges au niveau SYSTEM. Bien que les détails techniques précis restent limités, la cause profonde semble être liée à une validation inadéquate des données d’entrée au sein du CLFS.

Les attaquants exploitant cette faille peuvent contourner les autorisations utilisateur standard, compromettant de fait l’ensemble du système. Si elle est combinée avec une vulnérabilité d’exécution de code à distance (RCE), l’impact peut s’étendre au contrôle total du système, mettant en péril toutes les données, les processus et les configurations.

Recommandations

Mise à jour immédiate : Appliquez les derniers correctifs de sécurité fournis par Microsoft pour CVE-2024-49138 afin d’atténuer la vulnérabilité.

[Callforaction-THREAT-Footer]