Microsoft har nyligen identifierat en kritisk sårbarhet i Windows Common Log File System (CLFS) som aktivt utnyttjas av angripare för att höja sina behörigheter och potentiellt ta full kontroll över drabbade system.

CVE-2025-29824 är en "use-after-free"-sårbarhet i CLFS-drivrutinen i Windows. Denna typ av sårbarhet innebär att programvaran försöker använda minnesområden efter att de har frigjorts, vilket kan leda till oväntat beteende eller möjliggöra för en angripare att köra skadlig kod med höga behörigheter. Genom att utnyttja denna sårbarhet kan en angripare som redan har lokal åtkomst till ett system köra en speciellt utformad applikation för att höja sina privilegier till SYSTEM-nivå, vilket ger full kontroll över det drabbade systemet.

Angripare utnyttjar denna sårbarhet genom att köra en speciellt utformad applikation som interagerar med CLFS-drivrutinen på ett sätt som leder till en "use-after-free"-situation. Detta gör det möjligt för dem att exekvera kod med SYSTEM-behörighet. Sårbarheten har redan observerats bli utnyttjad i riktade attacker, där angripare har kunnat ta full kontroll över drabbade system.

Sårbarheten påverkar flera versioner av Windows, inklusive både klient- och serverversioner. Det är viktigt att notera att Windows 11 version 24H2 inte är sårbar för denna specifika attack. För Windows 10-användare är situationen mer komplex. Uppdateringar för att åtgärda CVE-2025-29824 är ännu inte tillgängliga för Windows 10 för x64-baserade och 32-bitars system. Microsoft har meddelat att dessa uppdateringar kommer att släppas så snart som möjligt och att kunder kommer att informeras via en uppdatering av CVE-informationen.

CLFS är ett allmänt loggningssystem i Windows som används av både användar- och kärnlägesapplikationer för att skapa högpresterande transaktionsloggar. Det introducerades i Windows Server 2003 R2 och används för både data- och händelseloggning. Sårbarheten i fråga är en "use-after-free"-sårbarhet, vilket innebär att minne som tidigare har frigjorts felaktigt används igen, vilket kan leda till exekvering av godtycklig kod.

För att ytterligare stärka skyddet mot sådana cyberhot rekommenderas det att implementera en omfattande säkerhetslösning som WF SecurityCloud. WF SecurityCloud är ett globalt cybersäkerhetssystem som finns i över 40 länder och skyddar datorer, servrar, brandväggar och webbplatser. Med avancerad AI övervakas och hanteras cyberhot proaktivt, vilket stärker IT-miljöer och säkerställer ett omfattande skydd. Läs mer om WF SecurityCloud här: WF SecurityCloud

Att hålla systemen uppdaterade och använda robusta säkerhetslösningar som WF SecurityCloud är avgörande för att skydda din organisation mot aktuella och framtida cyberhot.