【复现】Windows Common Log File System内核驱动权限提升漏洞(CVE-2023-23376)风险通告
2023-2-17 11:36:21 Author: 赛博昆仑CERT(查看原文) 阅读量:41 收藏

-赛博昆仑漏洞安全通告-

Windows Common Log File System内核驱动权限提升漏洞
风险通告(CVE-2023-23376)

漏洞描述

Microsoft Windows Common Log File System(CLFS) Driver 是Windows Vista引入的一种新的日志机制,它负责提供一个高性能、通用的日志文件子系统,专用客户端应用程序可以使用该子系统,多个客户端可以共享该子系统用来优化日志访问,任何需要日志记录或者是恢复支持的用户模式的应用程序都可以使用CLFS。

近日,赛博昆仑监测到Windows Common Log File System Driver 权限提升漏洞的漏洞情报,攻击者可以在普通用户权限的条件下通过执行特制程序来利用此漏洞,从而在目标系统上以SYSTEM权限执行任意代码,实现权限提升。

2023年2月14日Microsoft官方发布了漏洞公告以及补丁包,确认了该漏洞已存在在野利用,事实证明,该漏洞非常严重。赛博昆仑已经确认该漏洞利用原理,为了更好地帮助客户阻止攻击,我们发布漏洞预警应急方案应对漏洞攻击开展排查和补救措施,以避免潜在的重大安全风险和损失。

漏洞名称
Windows Common Log File System Driver 权限提升漏洞
漏洞公开编号
CVE-2023-23376
昆仑漏洞库编号
CYKL-2023-001163
漏洞类型
EOP
公开时间
2023-02-14
漏洞等级
高危
CVSS评分
7.8
漏洞所需权限
漏洞利用难度
PoC状态
未知
EXP状态
未知
漏洞细节
未知
在野利用
影响版本

向上滑动阅览

Windows 10 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 20H2 for 32-bit Systems

Windows 10 Version 20H2 for ARM64-based Systems

Windows 10 Version 20H2 for x64-based Systems

Windows 10 Version 21H2 for 32-bit Systems

Windows 10 Version 21H2 for ARM64-based Systems

Windows 10 Version 21H2 for x64-based Systems

Windows 10 Version 22H2 for 32-bit Systems

Windows 10 Version 22H2 for ARM64-based Systems

Windows 10 Version 22H2 for x64-based Systems

Windows 11 version 21H2 for ARM64-based Systems

Windows 11 version 21H2 for x64-based Systems

Windows 11 Version 22H2 for ARM64-based Systems

Windows 11 Version 22H2 for x64-based Systems

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2012

Windows Server 2012 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 R2 (Server Core installation)

Windows Server 2016

Windows Server 2016 (Server Core installation)

Windows Server 2019

Windows Server 2019 (Server Core installation)

Windows Server 2022

Windows Server 2022 (Server Core installation)

漏洞复现
复现环境

    Microsoft Windows x64 10.0.19043.1526

复现详情

目前,赛博昆仑已成功复现Windows Common Log File System Driver 权限提升漏洞(CVE-2023-23376),该漏洞可以在普通用户权限的条件下通过执行特制程序来利用此漏洞,从而在目标系统上以SYSTEM权限执行任意代码,实现权限提升。

复现截图如下:

检测方法

目前赛博昆仑-洞见产品已集成该漏洞规则,可以对该权限提升漏洞进行检测

修复建议

更新Microsoft Windows版本至最新版。

技术咨询

赛博昆仑作为微软主动保护计划(Microsoft Active Protections Program,MAPP)的合作伙伴,可以获得微软最新的高级网络威胁信息和相关防御手段、技术的分享,在微软每月安全更新公开发布之前更早地获取漏洞信息,并对赛博昆仑-洞见平台可以第一时间进行更新,为客户提供更迅速有效的安全防护。

赛博昆仑支持对用户提供轻量级的检测规则或热补方式,可提供定制化服务适配多种产品及规则,帮助用户进行漏洞检测和修复。

参考链接
  • https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23376
  • https://msrc.microsoft.com/update-guide/releaseNote/2023-Feb
时间线
  • 2023年2月14日,微软官方发布安全通告
  • 2023年2月15日,赛博昆仑CERT发布安全风险通告

  • 2023年2月16日,赛博昆仑CERT向邮件订阅客户发布漏洞应急通告

  • 2023年2月17日赛博昆仑CERT发布漏洞应急通告

文章来源: http://mp.weixin.qq.com/s?__biz=MzkxMDQyMTIzMA==&mid=2247483897&idx=1&sn=db75246dfe37e8186f3967dbab66688a&chksm=c12afc78f65d756ee92a620e28cad7cc7d2f9e9c5a4046982e24d6a0c5bac446e53bee34f3a7#rd
如有侵权请联系:admin#unsafe.sh