Impatto Sistemico

Alto (70.0)

Sintesi

Rilevata una vulnerabilità di tipo “zero-day” nei sistemi operativi Microsoft Windows, – probabilmente riconducibile ad una non corretta risoluzione della CVE-2020-17103 – per la quale è stato rilasciato un Proof of Concept (PoC). Tale vulnerabilità, qualora sfruttata, potrebbe consentire a un utente malintenzionato di elevare i propri privilegi sui sistemi interessati.

Tipologia

• Privilege Escalation

Descrizione e potenziali impatti

La vulnerabilità – denominata “MiniPlasma” – consiste in una race condition individuata nel driver di sistema cldflt.sys (Windows Cloud Files Filter) ed è causata da una regressione del codice che reintroduce un difetto logico già tracciato con l’identificativo CVE-2020-17103. Tramite lo sfruttamento dell’API nativa non documentata CfAbortHydration , un utente malevolo in possesso di privilegi standard può avviare un ciclo di impersonificazione di token anonimi in concomitanza con chiamate concorrenti al medesimo driver, al fine di ottenere l’elevazione locale dei propri privilegi (LPE).

Attraverso la manipolazione dei descrittori di sicurezza (DACL) e della proprietà ( Owner ) della chiave di registro CloudFiles , un utente malevolo potrebbe creare un collegamento simbolico ( symlink ) sfruttando la suddetta race condition . Il driver, operando con privilegi elevati, viene conseguentemente indotto a interagire con una chiave di registro arbitraria tramite il collegamento configurato. Tale condizione consente a un utente locale privo di diritti amministrativi di alterare la configurazione di componenti critici del sistema operativo, abilitando l’esecuzione di codice arbitrario nel contesto di sicurezza SYSTEM.

Nell’esempio riportato di seguito è possibile osservare ( Figura 2 ) come l’esecuzione del PoC, con le credenziali di un utente non privilegiato, abbia permesso la creazione di una chiave di registro all’interno dell’hive utente .DEFAULT, che richiede privilegi superiori quelli di un utente standard.

Figura 1: Chiavi di registro in HKEY_USERS\.DEFAULT prima dell’esecuzione del PoC

Figura 2: Chiavi di registro in HKEY_USERS\.DEFAULT modificate dall’esecuzione del PoC

Prodotti e/o versioni affette

Microsoft

• Windows Server 2022 e 2025
• Windows 11

Azioni di Mitigazione

In attesa del rilascio delle correttive di sicurezza da parte del vendor, si raccomanda di valutare l’implementazione delle seguenti azioni di mitigazione preventive:

• disattivare cldflt.sys sui sistemi che non richiedono funzionalità di sincronizzazione cloud;
• restringere i privilegi SeCreateSymbolicLinkPrivilege , SeRestorePrivilege e SeTakeOwnershipPrivilege per limitare la creazione di link simbolici e la manipolazione di DACL/ownership;
• monitorare le chiavi associate a CloudFiles, evidenziando variazioni di DACL/Owner, collegamenti simbolici (symlink) nel registro e anomalie correlate all’Object Manager NT;
• implementare regole di correlazione per intercettare l’eventuale abuso delle Cloud Filter API (es. CfAbortHydration ), reparse point anomali e sequenze di accesso concorrente/race condition;
• applicare policy WDAC/AppLocker e regole ASR per bloccare payload non autorizzati e tool di exploit custom;
• abilitare il tracciamento ETW dei provider Cloud Filter e Object Manager per identificare attività malevole non rilevabili tramite il solo auditing tradizionale.