CLFS бъг срива дори актуализирани системи Windows 10, 11 и Windows Server 2022

CLFS бъг срива дори актуализирани системи Windows 10, 11 и Windows Server 2022

Обикновена грешка в драйвера на Common Log File System (CLFS) може незабавно да предизвика прословутия син екран на смъртта във всички последни версии на Windows.

CLFS е услуга за регистриране в потребителски и ядрен режим, която помага на приложенията да записват и управляват логове. Тя е и популярна цел за хакерски атаки.

Докато експериментираше с нейния драйвер миналата година, изследовател от Fortra откри неправилно валидиране на определени величини във входните данни, което му позволи да предизвиква сривове на системата по желание. Неговият експлойт за доказване на концепцията (PoC) работеше във всички тествани версии на Windows – включително 10, 11 и Windows Server 2022 – дори в най-съвременните системи.

„Изпълнението му е много просто: стартира се двоичен файл, извиква се функция и тази функция предизвиква срив на системата“, обяснява Тайлър Регули, асоцииран директор на отдела за изследвания и разработки в областта на сигурността във Fortra. За да демонстрира колко е просто, той добавя: „Вероятно не бива да си признавам, но при преместването му от система в система днес случайно щракнах два пъти върху него и сринах сървъра си.“

BSoD от CLFS
Основният проблем – обозначен като CVE-2024-6768 – се отнася до базови журнални файлове (BLF), вид CLFS файл, който съдържа метаданни, използвани за управление на логове.

Изглежда, че драйверът CLFS.sys не потвърждава адекватно размера на данните в конкретно поле – „IsnOwnerPage“ – в BLF. Всеки нападател с достъп до система Windows може да създаде файл с невярна информация за размера, за да обърка на практика драйвера. След това, неспособен да разреши несъответствието, той задейства KeBugCheckEx – функцията, която предизвиква срив на синия екран.

CVE-2024-6768 е получил „средна“ оценка 6,8 от 10 по скалата на CVSS. То не засяга целостта или поверителността на данните, нито предизвиква някакъв вид неоторизиран контрол на системата. Тя обаче позволява безразборни сривове, които могат да нарушат бизнес операциите или потенциално да причинят загуба на данни.

Или, както обяснява Регули, може да се съчетае с други експлойти за постигане на по-голям ефект. „Това е добър начин за атакуващия да прикрие следите си или да свали услуга, която иначе не би трябвало да може да свали, и мисля, че именно тук идва истинският риск“, казва той. „Тези системи се рестартират неочаквано, [вие] пренебрегвате срива, защото тя се е върнала и сега е наред, но това може да е било някой, който прикрива дейността си – прикривайки факта, че е искал тя да се рестартира, така че да влезе в сила нова настройка.“

Не се вижда поправка
Fortra съобщи за първи път за своите открития на 20 декември миналата година. След месеци на обратна връзка, казва Регули, Microsoft са приключили разследването, без да признаят, че това е уязвимост, или да приложат поправка. По този начин, към момента на писане на статията, тя продължава да съществува в системите Windows, без значение колко са актуализирани.

През последните седмици Windows Defender идентифицира PoC на Fortra като зловреден софтуер. Но освен да използвате Windows Defender и да се опитвате да избягвате стартирането на всякакви двоични файлове, които я използват, организациите не могат да направят нищо, за да се справят с CVE-2024-6768, докато Microsoft не пусне кръпка.

Dark Reading се обърна към Microsoft за информация относно CVE-2024-6768.

 

Източник: DARKReading

Сподели в: