CVE-2022-24521 Windows CLFS本地提权漏洞分析

简介

CLFS全称为Common Log File System，即通用日志文件系统，自 Windows Vista 和 Windows Server 2003
R2中被引入用于构建高性能事务日志以来，使用者可以通过CLFS提供的API对日志进行创建、存储、读取等操作。在过去几年内，CLFS中出现过诸多漏洞，其中不乏有已经被在野利用的漏洞，CVE-2022-24521是微软4月修复的一个CLFS.sys驱动程序中的在野利用漏洞，本文将从介绍CLFS基本结构开始，对CVE-2022-24521漏洞进行分析，希望能够帮助读者了解CLFS以及其带来的不安全性。

**01 **CLFS前置知识

在分析CLFS漏洞之前需要了解CLFS日志文件的基本数据结构，在此方面笔者更多地得益于ionescu007的精彩分享[1]。用户可通过CreateLogFile函数来创建日志文件，函数执行后会在本地创建一个同名的后缀为.blf的日志文件，CLFS会将文件的数据加载进内存中进行解析处理。每个日志块以日志块头部_CLFS_LOG_BLOCK_HEADER开始，其定义为：

typedef struct _CLFS_LOG_BLOCK_HEADER  
{  
UCHAR MajorVersion;  
UCHAR MinorVersion;  
UCHAR Usn;  
CLFS_CLIENT_ID ClientId;  
USHORT TotalSectorCount;  
USHORT ValidSectorCount;  
ULONG Padding;  
ULONG Checksum;  
ULONG Flags;  
CLFS_LSN CurrentLsn;  
CLFS_LSN NextLsn;  
ULONG RecordOffsets[16];  
ULONG SignaturesOffset;  
} CLFS_LOG_BLOCK_HEADER, *PCLFS_LOG_BLOCK_HEADER;

这里重点关注下Checksum、RecordOffsets和SignaturesOffset，Checksum是该日志块数据的校验和，在读取数据时会对该数据进行校验，采用的是CRC32的校验方式，对应函数为CCrc32::ComputeCrc32：

__int64 __fastcall CCrc32::ComputeCrc32(const unsigned __int8 *const data, int size)  
{  
v2 = 0i64;  
v3 = size;  
for ( i = -1; v3; --v3 )  
{  
v5 = data[v2];  
v2 = (v2 + 1);  
i = (i >> 8) ^ CCrc32::m_rgCrcTable[i ^ v5];  
}  
return ~i;  
}

RecordOffsets保存每一个记录的偏移值，第一个记录与BlockHeader相连，偏移为sizeof(CLFS_LOG_BLOCK_HEADER)，也就是0x70；SignaturesOffset字段保存了一块内存的偏移值，日志在编码时每0x200字节的最后两个字节将被签名所覆盖，被覆盖前的数据将存放在SignaturesOffset字段所计算偏移的内存中：

do  
{  
DataStore += 2i64;  
v16 = 0x20;  
v17 = 0x40;  
if ( *(record + 4) - 1 != v15 )  
v16 = 0;  
if ( v15 )  
v17 = 0;  
v18 = v17 | v16;  
v19 = v15 << 9;  
LOBYTE(Signatures) = a4 | v18;  
++v15;  
*(DataStore - 2) = *(v19 + record + 0x1FE);// store previous data  
*(v19 + record + 0x1FE) = Signatures;     // write Signatures  
}  
while ( v15 < v10 );  
v12 = *(record + 0x10);

当解码时再将这段内存中保存的数据写回到原来的区域，编码和解码对应的函数分别为ClfsEncodeBlock和ClfsDecodeBlock。

接下来是日志文件的元数据块，在日志文件中有6个不同的元数据块，分别为Control Record、Base Record、Truncate
Record以及三个对应的