# CVE-2022-37969 > [!high] Escalada de Privilégio no Windows CLFS - Setembro 2022 > Vulnerabilidade de elevação de privilégios no driver Common Log File System (CLFS) do Windows, explorada ativamente por grupos de ransomware e APTs para obter permissões SYSTEM em máquinas comprometidas. ## Visão Geral A [[cve-2022-37969|CVE-2022-37969]] é uma vulnerabilidade de elevação de privilégio local no driver **Common Log File System (CLFS)** do Windows, corrigida no Patch Tuesday de setembro de 2022. O CLFS é um componente central do kernel do Windows responsável pelo gerenciamento de logs, presente em todas as versões modernas do sistema operacional da [[_microsoft|Microsoft]]. A falha permite que um atacante com acesso local de baixo privilégio eleve suas permissões para o nível SYSTEM, viabilizando controle total da máquina. Por ser uma primitiva de pós-exploração, essa vulnerabilidade é frequentemente combinada com outras falhas de acesso inicial, sendo especialmente valorizada por operadores de ransomware como o grupo [[bianlian]]. No contexto do Brasil e América Latina, a prevalência de ambientes Windows corporativos desatualizados torna essa vulnerabilidade um risco relevante — sistemas sem patching sistemático são alvos frequentes de campanhas de ransomware direcionadas à região. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | Escalada de Privilégio Local (LPE) | | Componente | `clfs.sys` - Windows CLFS Driver | | Vetor | Local | | Autenticação necessária | Sim (usuário padrão) | | Complexidade | Baixa | | PoC Público | Sim | ### Como Funciona A vulnerabilidade reside em uma corrupção de memória no driver `clfs.sys`, específicamente no processamento de arquivos de log BLF (Base Log File). Um atacante pode criar um arquivo BLF malicioso que, ao ser processado pelo driver, aciona escrita fora dos limites (out-of-bounds write) no kernel, corrompendo estruturas de dados críticas e permitindo a execução de código arbitrário no contexto SYSTEM. ``` Usuário Padrão → Arquivo BLF Malicioso → clfs.sys OOB Write → Kernel Corruption → SYSTEM Shell ``` ## TTPs Associadas | Técnica | Descrição | |---------|-----------| | [[t1068-exploitation-for-privilege-escalation\|T1068]] | Exploração para escalada de privilégio | | [[t1059-001-powershell\|T1059.001]] | PowerShell para execução pós-exploit | | [[t1543-003-windows-service\|T1543.003]] | Persistência via serviço Windows após SYSTEM | ## Detecção e Defesa **Mitigações:** - Aplicar patch MS22-SEP (KB5017308) imediatamente - [[m1051-update-software\|M1051]] - Manter Windows Update ativo com patches críticos - [[m1038-execution-prevention\|M1038]] - Bloquear execução de binários não assinados - Monitorar carregamento anômalo do driver `clfs.sys` **Detecção:** - Alertas em Event ID 4688 para processos spawning com privilégio SYSTEM inesperado - Monitorar acesso a arquivos `.BLF` por processos não-privilegiados > [!latam] Relevância para Brasil e LATAM > Operadores de ransomware como BianLian e grupos afiliados ao ecossistema RaaS utilizam ativamente LPEs como esta para escalar privilégios após acesso inicial via phishing ou RDP exposto - vetores prevalentes em empresas brasileiras de médio porte. Ambientes com Windows Server 2008/2012 ainda em produção (frequente no Brasil) são especialmente vulneráveis. ## Referências - [Microsoft Security Update - CVE-2022-37969](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-37969) - [NVD - CVE-2022-37969](https://nvd.nist.gov/vuln/detail/CVE-2022-37969) - [CISA Advisory](https://www.cisa.gov/known-exploited-vulnerabilities-catalog)