Ευπάθεια συστήματος αρχείων Microsoft Brokering Επιτρέπει στους εισβολείς να κλιμακώνουν τα προνόμια

Η Microsoft έχει επιδιορθώσει μια σημαντική ευπάθεια χωρίς χρήση στο πρόγραμμα οδήγησης του Brokering File System (BFS), που παρακολουθείται ως CVE-2025-29970.

Το ελάττωμα επιτρέπει στους τοπικούς εισβολείς να κλιμακώνουν τα προνόμια σε συστήματα Windows που εκτελούν απομονωμένες εφαρμογές ή εφαρμογές sandbox, καθιστώντας το ένα αξιοσημείωτο ενδιαφέρον για την ασφάλεια των επιχειρήσεων.

Η ευπάθεια υπάρχει στο bfs.sys, ένα πρόγραμμα οδήγησης μίνι φίλτρου που αναπτύχθηκε μαζί με το Windows AppContainer και το AppSilo, τους μηχανισμούς sandbox της Microsoft για την απομόνωση των εφαρμογών Win32.

Το BFS διαχειρίζεται λειτουργίες αρχείων, σωλήνων και μητρώου από μεμονωμένες εφαρμογές, καθιστώντας το ελκυστικό στόχο για επιθέσεις κλιμάκωσης προνομίων.

Ευπάθεια συστήματος αρχείων Microsoft Brokering

Η βασική αιτία έγκειται στην ακατάλληλη διαχείριση της μνήμης στη λογική κατανομής του DirectoryBlockList του BFS.

Ο ευάλωτος κώδικας εκχωρεί την κεφαλή της συνδεδεμένης λίστας ενώ εξακολουθεί να επαναλαμβάνει τις υπόλοιπες εγγραφές στον ίδιο βρόχο, δημιουργώντας μια κλασική συνθήκη χωρίς χρήση.

Όταν οι καταχωρίσεις πολιτικής καταργούνται μέσω του BfsProcessDeletePolicyEntryRequest IOCTL, ενεργοποιείται η ευάλωτη διαδικασία κατανομής. Επιτρέποντας στους εισβολείς να χειριστούν δομές ελευθερωμένης μνήμης.

Η HT3Labs, η ερευνητική ομάδα ασφαλείας που ανακάλυψε αυτό το ελάττωμα, τεκμηρίωσε την ευπάθεια που επηρεάζει το bfs.sys έκδοση 26100.4061.

Η Microsoft διαχώρισε τον βρόχο κατανομής σε μια αποκλειστική συνάρτηση BfsCloseRootDirectory στην ενημερωμένη έκδοση κώδικα. Βεβαιωθείτε ότι η κεφαλή της λίστας εκχωρείται μόνο μετά την επεξεργασία όλων των καταχωρήσεων.

Απαιτήσεις εκμετάλλευσης

Η επιτυχής εκμετάλλευση απαιτεί συγκεκριμένες συνθήκες: ο εισβολέας πρέπει να υποδυθεί μια κατάλληλη διαδικασία με δυνατότητες διακριτικού AppSilo.

Δημιουργήστε καταχωρίσεις πολιτικής εντός του συστήματος και ενεργοποιήστε επανειλημμένα τις λειτουργίες αφαίρεσης για να αναγκάσετε την ανάκτηση ελευθερωμένης μνήμης.

Οι δοκιμές αποκάλυψαν ότι μόνο διεργασίες μεσαίου επιπέδου ακεραιότητας μπορούν να έχουν πρόσβαση στη συσκευή BFS, περιορίζοντας το εύρος της εκμετάλλευσης αλλά δεν εξαλείφοντας τον κίνδυνο.

Η ακολουθία επίθεσης περιλαμβάνει την πλαστοπροσωπία ενός διακριτικού low-box, τη δημιουργία προσωρινών αρχείων σε απομονωμένους καταλόγους εφαρμογών και την εκτέλεση γρήγορων κύκλων προσθήκης-αφαίρεσης βάσει IOCTL.

Ενώ δεν παρατηρήθηκαν άμεσες διακοπές λειτουργίας του συστήματος λόγω μοτίβων εκχώρησης μνήμης, η συνεχής εκμετάλλευση προκαλεί αξιόπιστα ένα μοιραίο σφάλμα συστήματος (0x00000050) στο bfs.sys.

Αυτή η ευπάθεια αποτελεί σημαντική απειλή για συστήματα που χρησιμοποιούν λειτουργίες sandbox των Windows, ιδιαίτερα για επιχειρήσεις που αναπτύσσουν μεμονωμένες εφαρμογές για βελτιωμένη ασφάλεια.

Η Microsoft κυκλοφόρησε ενημερώσεις κώδικα τον Ιανουάριο του 2025. Οι οργανισμοί θα πρέπει να δώσουν προτεραιότητα στην άμεση εφαρμογή τους. Οι ομάδες ασφαλείας θα πρέπει να παρακολουθούν για απόπειρες εκμετάλλευσης που στοχεύουν σε διαδικασίες μέσης ακεραιότητας. Εξετάστε το ενδεχόμενο να περιορίσετε την εκτέλεση μη αξιόπιστων εφαρμογών σε περιβάλλοντα sandbox μέχρι να αναπτυχθεί μια ενημέρωση κώδικα.

Σύμφωνα με PixiePointSecurityτο εύρημα δείχνει ότι ακόμη και τα εξειδικευμένα προγράμματα οδήγησης ασφαλείας μπορεί να υποφέρουν από ανεπαίσθητα ελαττώματα διαχείρισης μνήμης.

Ενίσχυση της ανάγκης για συνεχή αξιολόγηση ασφάλειας των στοιχείων λειτουργίας πυρήνα των Windows.