Skip to main content

Uaf

CVE-2026-32070 1day analysis

·1804 words·9 mins
Images not loading? Try accessing this site using a VPN. Overview # Sau khi mình phân tích xong CVE-2025-29824, thì sau đó vài ngày là patch tuesday của Microsoft và mình vô tình thấy bài đăng này CLFS lại lần nữa có vuln LPE nên mình sẽ phân tích nó nữa vậy. Đây lại là vuln UAF, các thông tin cơ bản về CLFS có thể xem ở bài phân tích cũ của mình Nó có ảnh hưởng đến các version sau, chi tiết hơn có thể xem ở đây

Racing in kernel pool with CVE-2025-29824

·1687 words·8 mins
Images not loading? Try accessing this site using a VPN. I. Overview # Trước đây mình từng đọc các bài blog phân tích tactic của các nhóm APT thì mình thấy có CLFS (Common Log File System) thường được sử dụng như 0day để leo quyền thành system từ đó load rootkit. Do mình thấy tỉ lệ CLFS xảy ra nhiều vuln như vậy nên mình sẽ phân tích nó. Vậy đầu tiên ta cần hiểu CLFS là gì. Dựa vào các docs từ microsoft hoặc các bài blog ta đại khái có thể hình dung ra nó liên quan đến cơ chế lưu giữ log trên windows và cho phép user có thể revert lại khi cần. Từ đây mình thấy có các attack vector liên quan đến các yếu tố đọc ghi log, parse data trong log, handle các log operation như nào. Các yếu tố này sẽ được sử dụng để dễ dàng hơn trong việc diff check cũng như exploit