CVE-2023-28252

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2023-04-11

Официальное описание

Microsoft Windows Common Log File System (CLFS) driver contains an unspecified vulnerability that allows for privilege escalation.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2023-28252 представляет собой критическую уязвимость типа Out-of-Bounds Write (запись за пределами границ буфера) в драйвере clfs.sys (Common Log File System). Уязвимость возникает при некорректной обработке базовых блоков логов (Base Log Files) в памяти.

Злоумышленник, имеющий доступ к системе с низкими привилегиями, может создать специально сформированный файл лога, который при открытии драйвером CLFS приведет к повреждению памяти ядра. Это позволяет выполнить произвольный код с правами SYSTEM, полностью скомпрометировать хост, обойти песочницы и механизмы защиты EDR. Данная уязвимость активно эксплуатировалась в дикой природе группами вымогателей (Ransomware).

Как исправить

Единственным надежным способом устранения уязвимости является установка официальных обновлений безопасности Microsoft от апреля 2023 года (или более поздних кумулятивных обновлений).

  1. Проверьте текущую версию ОС и наличие установленных обновлений:
get-hotfix | findstr "KB5025221 KB5025224 KB5025239"
  1. Запустите принудительный поиск и установку обновлений через Windows Update:
Install-Module PSWindowsUpdate
Get-WindowsUpdate -Install -AcceptAll -AutoReboot
  1. Для серверных систем (Windows Server 2019/2022) убедитесь, что установлены соответствующие пакеты:
  2. Windows Server 2022: KB5025230
  3. Windows Server 2019: KB5025229

Временные меры

Если немедленная установка патчей невозможна, необходимо минимизировать риски с помощью следующих шагов:

  1. Ограничение доступа к подозрительным файлам: Используйте AppLocker или Windows Defender Application Control (WDAC), чтобы запретить запуск неизвестных исполняемых файлов в пользовательских директориях (%TEMP%, %APPDATA%), так как эксплойт требует запуска локального кода.

  2. Мониторинг системных журналов: Настройте аудит доступа к объектам и отслеживайте события загрузки драйверов. Особое внимание уделите процессам, которые создают большое количество файлов с расширением .blf или .regtrans-ms.

  3. Использование средств защиты (EDR): Настройте правила детектирования для поиска аномального поведения процессов, взаимодействующих с clfs.sys.

Set-MpPreference -AttackSurfaceReductionRules_Ids 01443614-cd74-433a-b99e-2ec37744e7cc -AttackSurfaceReductionRules_Actions Enabled
  1. Изоляция критических узлов: Минимизируйте количество пользователей с правами локального входа на серверы, где не установлены обновления, чтобы предотвратить локальный запуск эксплойта.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей