✅ 보고서 제목: 윈도우(Windows) 공용 로그 파일 시스템 드라이버 취약점 분석, CVE-2025-32713

✅ 보고서 요약:

- 본 취약점은 공용 로그 파일 시스템(Common Log File System, CLFS) 드라이버에서 부적절한 메모리 관리로 인해 발생하는 로컬 권한 상승(Local Privilege Escalation, LPE) 취약점입니다.

- 2025년 6월 이후의 누적 업데이트가 적용되지 않은 모든 윈도우 제품군이 취약한 것으로 알려졌습니다.

- 설치된 윈도우 누적 업데이트의 버전은 설정 > Windows 업데이트 > '업데이트 기록'에서 확인할 수 있습니다.

📌 취약점 발생 원인은 무엇인가요?

- 사용자 모드(User-mode)에서의 로그 마샬링 영역의 사용 여부와 관계 없이 사용자가 디스크에 저장된 CLFS 컨테이너에서 특정 로그 레코드의 정보를 읽을 때, CLFS 드라이버 내에서 여러 단계를 거쳐 CClfsLogFcbPhysical::ReadLogBlock 함수가 호출되며, 해당 함수는 요청된 로그 레코드가 포함된 로그 블록을 컨테이너로부터 가져오기 위해 CcCopyRead 함수를 호출합니다.

- 논리 섹터 크기가 512 바이트보다 큰 볼륨에 위치한 CLFS 로그 컨테이너에서 ClfsContextForward 이외의 컨텍스트 모드(context mode)로 CLFS 로그 블록을 읽을 경우 풀 오버플로(pool overflow)가 발생하며, 이는 로컬 사용자의 권한 상승으로 이어질 수 있습니다.

📌 취약점을 악용한 공격 시나리오는 무엇인가요?

- (조건) 공격 대상 시스템에 512바이트(byte)보다 큰 논리 섹터 크기를 가지면서 모든 사용자에 대해 읽기 및 쓰기를 허용하는 볼륨이 존재해야 합니다.

- 공격자는 윈도우, 타사 응용 프로그램의 취약점, 또는 사회공학 기법 등을 통해 공격 대상 시스템에서 중간 무결성 수준(Medium Integrity Level)의 코드 실행 권한을 획득합니다.

- 획득한 코드 실행 권한을 통해 알려진 KASLR 우회 기법을 활용해 커널 모드(Kernel-mode)의 메모리 레이아웃을 추측합니다.

- 512바이트보다 큰 논리 섹터를 가지는 볼륨에 CLFS 로그 컨테이너를 생성하고, 앞서 알아낸 커널 모드 메모리 레이아웃을 기반으로 관리자 권한 획득을 위해 정교하게 설계된 가짜 커널 오브젝트들을 컨테이너 내부에 배치합니다.

- 생성된 CLFS 로그 컨테이너로부터 ClfsContextForward 이외의 컨텍스트 모드로 로그 레코드 읽기를 시도하여 취약점을 트리거하면, 풀 오버플로가 발생해 컨테이너 내부에 배치된 가짜 커널 오브젝트들이 인접한 메모리 영역에 기록됩니다.

- 가짜 커널 오브젝트로 인해 오염된 메모리 영역을 참조하여 동작하는 커널 모드의 기능을 호출해 관리자 권한을 획득할 수 있습니다.

✅ 위협 탐지 권장 사항 및 조치 방안:

- 취약한 버전의 윈도우 제품군을 사용 중인 경우, 최신 버전으로 업데이트를 권장합니다.

- 업데이트가 불가능할 경우, 아래 조치 방안에 따라 조치할 것을 권장합니다.

  - 논리 섹터 크기가 512바이트보다 큰 저장매체 사용 자제

  - 저장소 풀 및 저장소 공간 기능 사용 자제

  - 신뢰할 수 없는 사이트 방문 자제

  - 신뢰할 수 없는 출처의 파일 열람 및 실행 자제

🧑‍💻 보고서 작성자: S2W 오펜시브연구팀 테크리더 김승회

👉 보고서 전문 읽기: https://bit.ly/3Gs2vcO

*해당 보고서는 별도 문의 가능하며, S2W의 플랫폼 구독 시 전문으로 제공됩니다.