About Teletype
Join
THREAD
@thread_type
December 17

CVE-2025-60709 - Weaponized CLFS LPE

Критическая уязвимость локального повышения привилегий в драйвере Windows Common Log File System (clfs.sys). Позволяет аутентифицированному локальному атакующему (low-privileged user) повысить привилегии до NT AUTHORITY\SYSTEM через out-of-bounds read => arbitrary kernel write.

Технические детали

  • Поражённые версии: Все поддерживаемые версии Windows до November 2025 Patch Tuesday: Windows 10 (1607, 1809, 21H2, 22H2) Windows 11 (23H2, 24H2, 25H2) Windows Server (2012/R2, 2016, 2019, 2022, 2025) (Патчи: cumulative updates November 2025 — KB5068781, KB5068861, KB5068791 и аналогичные для разных сборок).
  • Платформы: Microsoft Windows (x64 primary, x86/ARM64 возможно). Подтверждено на Windows 11 24H2 (build 26100.3485+).
  • Тип уязвимости: Out-of-Bounds Read → Elevation of Privilege в clfs.sys. Корень: недостаточная валидация структур в .blf-файлах (base log files). CWE-125 (OOB Read).
  • CVSS v3.1: 7.8 (HIGH). Вектор: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H (локальный, низкая сложность, low privileges, без UI, high impact на CIA). Точка входа: CLFS API — CreateLogFile, AddLogContainer, ClfsReadRestartArea (парсинг malformed контейнера в .blf).
  • Метод эксплуатации:
    • Grooming kernel lookaside pool (массовое создание логов/контейнеров для контролируемого размещения).
    • Создание malformed .blf с oversized рекордом (cbRecord > буфер), фейковыми структурами в overflow-зоне и фиксированным checksum.
    • Триггер через AddLogContainer + ReadRestartArea → OOB read → arbitrary kernel write primitive.
    • Token stealing: перезапись EPROCESS.Token текущего процесса на токен SYSTEM (offsets стабильны для 24H2+). Дополнительно: bypass ETW/AMSI, in-memory beacon (C2 over IPv6/DoH). Предоставленный PoC заявляет 100% success rate, zero BSOD, работает на свежих 24H2.
  • Ограничения: Только локальный доступ (low-priv user). Не remote. Зависит от kernel offsets (меняются с обновлениями). Требует прав на создание файлов в Temp и вызов CLFS API. На момент декабря 2025 — нет подтверждений in-the-wild эксплуатации (но CLFS часто weaponized быстро).

Влияние

CLFS.sys — подсистема транзакционного логирования (TxF, UTRS и др.). Драйвер недостаточно проверяет размеры рекордов в .blf, позволяя overflow при парсинге. С grooming достигается точный контроль => reliable arb write в kernel. Классический pool overflow => token stealing (стандарт для Windows LPE).

Итог: полный компромисс хоста от обычного пользователя.

Download

#exploit
December 17, 15:52
0 views
0 reposts