O pesquisador de segurança Alex Birnberg publicou recentemente os detalhes técnicos e um código de prova de conceito (PoC) para explorar a vulnerabilidade CVE-2024-30085, que afeta o driver Cloud Files Mini Filter (cldflt) no Windows. Essa falha, classificada com uma pontuação de 7,8 no sistema CVSS, permite que atacantes locais elevem seus privilégios ao nível SYSTEM, representando um risco significativo à segurança de sistemas vulneráveis.

A falha está localizada na função HsmIBitmapNORMALOpen, que apresenta uma validação inadequada dos comprimentos de dados fornecidos pelo usuário antes de copiá-los para um buffer de tamanho fixo na memória heap. Essa falha na validação permite que atacantes contornem as verificações de segurança e executem código arbitrário com os mais altos privilégios do sistema. Uma vez que privilégios SYSTEM sejam obtidos, o atacante pode tomar controle total do sistema, instalar softwares maliciosos, modificar arquivos críticos e acessar dados restritos.

Entre os problemas técnicos identificados, destaca-se a possibilidade de burlar a validação do comprimento de bitmaps de pontos de reanálise (reparse points), uma vez que o código não executa corretamente as verificações necessárias. Além disso, manipulando caminhos de diretórios e reparse points, os atacantes podem evitar as restrições que deveriam impedir a criação não autorizada desses pontos.

Por fim, dados superdimensionados podem ser copiados para buffers fixos, resultando em um overflow de buffer na heap, que causa corrupção de memória e escalonamento de privilégios. O exploit mostrou como a falha pode ser explorada em sistemas Windows 11 23H2, destacando a gravidade do problema. Sistemas impactados podem ser completamente comprometidos caso o ataque seja realizado com sucesso.