Недавно опубликованный эксплойт типа proof-of-concept (PoC) вновь привлек внимание к уязвимости в Windows, которая, по мнению исследователей, могла быть не устраненной полностью, несмотря на ранее выпущенное исправление безопасности от Microsoft. Эксплойт, размещенный в публичном репозитории под названием “MiniPlasma”, демонстрирует проблему повышения локальных привилегий (LPE), связанную с драйвером мини-фильтра облачных файлов Windows, cldflt.sys. По словам сопровождающего репозитория, Nightmare-Eclipse, который недавно также раскрыл подробности об уязвимости “GreenPlasma“, уязвимость MiniPlasma тесно связана с проблемой Google Project Zero под номером 42451192, отслеживаемой под идентификатором CVE-2020-17103.
Для тех, кто интересуется, драйвер мини-фильтра облачных файлов Windows (cldflt.sys) — это мини-фильтр файловой системы на уровне ядра, который поддерживает функции синхронизации с облаком, такие как Файлы по запросу в OneDrive. Мини-фильтры файловой системы подключаются к стеку ввода-вывода файлов Windows и помогают отслеживать, фильтровать или изменять операции с файлами до того, как они достигнут хранилища. API облачных файлов Microsoft позволяет поставщикам синхронизации создавать заполнители файлов, которые отображаются локально, в то время как содержимое остается в облаке до момента обращения к нему. По сути, cldflt.sys помогает прозрачно управлять этими заполнителями, состояниями синхронизации и доступом к файлам, размещенным в облаке, в Проводнике Windows.
В документации к проекту разработчик заявляет, что об уязвимости было впервые сообщено Microsoft компанией Google Project Zero около шести лет назад (что видно из идентификатора CVE), и считалось, что на тот момент она была исправлена (по всей видимости, устранена в Windows 10 с обновлением KB4592438). Однако, пересмотрев ранние исследования, автор заметил, что та же самая основная проблема может по-прежнему существовать в современных системах Windows, даже в самых последних пропатченных версиях.
Это означает, что даже последнее обновление Windows 11 KB5089549 от Вторника исправлений, выпущенное на прошлой неделе, может стать жертвой этой уязвимости. Nightmare-Eclipse отмечает, что оригинальный PoC от Google продолжал работать «без каких-либо изменений», что вызывает вопрос о том, было ли первоначальное смягчение последствий неполным или позже отменено, поскольку Google помечает статус проблемы как «исправлено».
Эксплойт целенаправленно атакует функцию HsmOsBlockPlaceholderAccess внутри cldflt.sys и внедряет произвольные ключи реестра в куст .DEFAULT пользователей, что, по сути, приводит к LPE. Автор утверждает, что код был адаптирован для запуска оболочки с правами SYSTEM, эффективно демонстрируя полное повышение привилегий с учетной записи с низкими привилегиями. Эксплойт описывается как зависимый от состояния гонки (race-condition), что означает, что его надежность может варьироваться в зависимости от системного времени и конфигурации.
Исследователь безопасности Уилл Дорманн протестировал PoC и подтвердил, что он успешно привел к повышению системных привилегий, хотя, что интересно, он также добавил, что эксплойт не сработал на «последней сборке Windows 11 Canary в рамках программы Insider Preview». Таким образом, возможно, Microsoft наконец-то исправляет это (снова?) спустя шесть лет; тем не менее, пройдет некоторое время, прежде чем мы увидим это в исправлении Вторника.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Sayan Sen
