Zscalerは10月14日(米国時間)、「Technical Analysis of Windows CLFS Zero-Day Vulnerability CVE-2022-37969 - Part 1: Root Cause Analysis」において、Windows共通ログファイルシステム(CLFS: Common Log File System)ドライバに存在した特権昇格の脆弱性に関する詳細な分析結果を伝えた。
2022年9月にこのゼロディ脆弱性が確認されており、Microsoftに報告されている。また、この脆弱性を修正するセキュリティパッチはすでに公開されている(参考「Windowsのゼロデイ脆弱性修正するセキュリティパッチが公開、Windows 7も対象 | TECH+(テックプラス)」)。
-
Technical Analysis of Windows CLFS Zero-Day Vulnerability CVE-2022-37969 - Part 1: Root Cause Analysis
Windows共通ログファイルシステムは、高パフォーマンスのトランザクションログを構築するためにカーネルモードおよびユーザモードの両方で動作するアプリケーションに使用されている汎用ログサブシステムで、「CLFS.sys」ドライバで実装されている。このドライバに特権昇格のゼロディ脆弱性「CVE-2022-37969」があり、悪用に成功した攻撃者はSYSTEM権限を獲得する可能性があるとされている。
Zscalerの分析により、セキュリティパッチが適用されていない以前のWindows 10およびWindows 11で正常に権限昇格できることが確認されている。原因はCLFS.sysのベースログファイル(BLF)のベースレコードヘッダーのフィールド「cbSymbolZone」に厳密な境界チェックが行われていないことによるものとされており、cbSymbolZoneフィールドに無効なオフセットが設定されている場合、無効なオフセットで境界外書き込みが発生する。
CVE-2022-37969のCVSS v3ベーススコアは7.8で、深刻度はHigh(重要)と位置づけられており、注意が必要。すでに攻撃への悪用が確認されているゼロデイ脆弱性に該当するため、公開されているセキュリティパッチを適用することが強く推奨される。
