CVE-2024-49138 è una vulnerabilità zero-day nel driver Windows Common Log File System (CLFS), che consente agli attaccanti di elevare i privilegi fino al livello SYSTEM. Questa falla attivamente sfruttata, con un punteggio CVSS di 7.8, deriva da una convalida impropria dei dati all’interno di CLFS, che supporta i servizi di registrazione per le operazioni in modalità utente e kernel.

Gli operatori di ransomware hanno utilizzato sempre più frequentemente le vulnerabilità di elevazione dei privilegi di CLFS per eseguire campagne rapide e distruttive, abilitando il movimento laterale, il furto di dati, la cifratura e l’estorsione. La vulnerabilità è attualmente sfruttata e la sua inclusione nel catalogo delle Vulnerabilità Conosciute Sfruttate della Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti evidenzia l’urgenza di adottare misure di mitigazione.

Riassunto tecnico

Questa vulnerabilità consente agli attaccanti di sfruttare le API di Windows per manipolare o corrompere i file di log di CLFS, portando potenzialmente all’elevazione dei privilegi a livello SYSTEM. Sebbene i dettagli tecnici precisi rimangano limitati, la causa principale sembra essere legata a una convalida inadeguata dei dati di input all’interno di CLFS.

Gli attaccanti che sfruttano questa falla possono bypassare i permessi standard dell’utente, compromettendo di fatto l’intero sistema. Se combinata con una vulnerabilità di esecuzione di codice da remoto (RCE), l’impatto può estendersi al controllo totale del sistema, mettendo a rischio tutti i dati, processi e configurazioni.

Raccomandazioni

Aggiornare immediatamente: Applicare le ultime patch di sicurezza fornite da Microsoft per CVE-2024-49138 al fine di mitigare la vulnerabilità.