Windows CLFS とランサムウェア オペレーターによって使用される 5 つのエクスプロイト (エクスプロイト #1 – CVE-2022-24521) from securelist.com

security summary


Windows CLFS and five exploits used by ransomware operators (Exploit #1 – CVE-2022-24521) - securelist.com
securelist.com
Windows CLFS and five exploits used by ransomware operators (Exploit #1 – CVE-2022-24521) - securelist.com
This is the second part of our study about the Common Log File System (CLFS) and five vuln...

このエクスプロイトは CreateLogFile を使用して新しい BLF ファイルを作成しましたが、調査で使用されたことが判明したのはその中の 5 つの値のみでした。
最初のエクスプロイトは 2018 年に「カーネル トランザクション マネージャー」で発見され、現在のスレッドの KTHREAD 構造体のアドレスを取得することで任意のカーネル メモリを悪用しました。
このエクスプロイトは、ntQuerySystemInformation テクニックを使用して、すべてのスレッドの以前の動作モードを示すフラグを取得します。

コメント

タイトルとURLをコピーしました