O vulnerabilitate recent descoperită în driverul Common Log File System (CLFS.sys) al Windows ar putea afecta milioane de dispozitive care rulează Windows 10, Windows 11 și diverse versiuni de Windows Server. Aceasta permite unui utilizator rău intenționat să provoace o Blue Screen of Death (BSOD) și să destabilizeze sistemul.
TLDR
- Vulnerabilitate descoperită în driverul CLFS.sys al Windows
- Poate provoca Blue Screen of Death (BSOD)
- Afectează Windows 10, Windows 11 și Windows Server
- Nu există încă remedieri sau patch-uri disponibile
Ce este vulnerabilitatea descoperită?
Recent, o vulnerabilitate gravă a fost identificată în driverul Common Log File System (CLFS.sys) al Windows. Aceasta este cunoscută sub numele de CVE-2024-6768 și permite unui utilizator rău intenționat, chiar și unul cu privilegii scăzute, să declanșeze un Blue Screen of Death (BSOD). Acest lucru se întâmplă printr-un apel forțat la funcția KeBugCheckEx, ceea ce duce la instabilitatea sistemului și atacuri de tip Denial of Service (DoS).
Cum funcționează vulnerabilitatea?
Vulnerabilitatea este cauzată de o validare necorespunzătoare a cantităților specificate în datele de intrare, fiind catalogată sub CWE-1284. Aceasta poate duce la o stare a sistemului din care nu se poate recupera, permițând unui atacator să blocheze repetat sistemele afectate. Acest lucru poate provoca pierderi de date și întreruperi operaționale.
Demonstratia vulnerabilității
Ricardo Narvaja, un cercetător la Fortra, a demonstrat vulnerabilitatea printr-un proof of concept (PoC). Acesta a exploatat valori specifice dintr-un fișier .BLF, un format utilizat de sistemul comun de fișiere jurnal din Windows. “Această demonstrație arată că un utilizator fără privilegii poate induce o prăbușire a sistemului fără a necesita interacțiunea utilizatorului, subliniind complexitatea scăzută a atacului,” a declarat Narvaja.
Impact și măsuri de prevenire
Deși vulnerabilitatea are un scor de severitate medie de 6.8 pe sistemul de clasificare CVSS, riscul este semnificativ din cauza posibilității de exploatare repetată. Vectorul de atac este local, ceea ce înseamnă că trebuie executat pe sistemul însuși, limitând oarecum sfera potențialelor atacuri.
Această descoperire vine la puțin timp după o problemă majoră cu CrowdStrike, unde o actualizare de securitate defectuoasă a cauzat BSOD-uri pe scară largă pe PC-urile enterprise și business. Problemele similare subliniază importanța menținerii unor măsuri de securitate robuste și monitorizării sistemelor pentru activități neobișnuite.
În prezent, nu există mitigări sau patch-uri cunoscute pentru CVE-2024-6768. Vulnerabilitatea afectează driverul CLFS.sys în Windows 10, Windows 11 și mai multe versiuni de Windows Server, permițând unui utilizator cu privilegii scăzute să provoace o BSOD prin validarea necorespunzătoare a datelor de intrare.
Sursa articolului:
Pe Threat Spotting apar articole identificate de specialiști în securitate cibernetică și simplificate prin inteligență artificială (AI). De aceea, e bine să consultați sursele oficiale întrucât tehnologiile AI curente pot genera informații incomplete sau parțial adevărate. Citește mai multe despre proiect aici.
