Neue Windows-Sicherheitsanfälligkeit verursacht BSOD auf vollständig aktualisierten Windows 10 & 11 PCs

Das Cybersecurity-Unternehmen Fortra hat eine neue Sicherheitsanfälligkeit in einem Windows-Treiber entdeckt, die den berüchtigten BSOD (Blue Screen of Death) auf vollständig aktualisierten Windows-PCs verursacht.

Die Schwachstelle, die als CVE-2024-6768 verfolgt wird, ist ein Denial of Service (DoS) im Common Log File System (CLFS.sys) Treiber von Microsoft Windows 10, Windows 11, Windows Server 2016, Windows Server 2019 und Windows Server 2022, die es einem böswilligen, authentifizierten Benutzer mit niedrigen Rechten ermöglicht, einen BSOD durch einen erzwungenen Aufruf der Funktion KeBugCheckEx zu verursachen.

Die Schwachstelle besteht aufgrund unzureichender Validierung einer angegebenen Menge in der Eingabe (CWE-1284), was zu einer unrecoverable Inkonsistenz im CLFS.sys-Treiber führt.

Die CVE-2024-6768-Sicherheitsanfälligkeit betrifft die oben genannten Versionen von Windows, unabhängig davon, ob sie mit allen bisherigen Sicherheitsupdates aktualisiert wurden.

„Die potenziellen Probleme umfassen Systeminstabilität und Denial of Service“, sagte Ricardo Narvaja, leitender Exploit-Autor bei Fortra und Autor des Berichts, „böswillige Benutzer können diese Schwachstelle ausnutzen, um betroffene Systeme wiederholt zum Absturz zu bringen, was den Betrieb stört und potenziell zu Datenverlust führen kann.“

Ein Proof of Concept (PoC), der von Narvaja entworfen wurde, zeigte, dass durch das Erstellen von Werten in einem bestimmten Protokolldateiformat, wie einer .BLF-Datei, ein unprivilegierter Benutzer das Zielsystem ausnutzen und zum Absturz bringen konnte, ohne dass eine Benutzerinteraktion erforderlich war.

Narvaja sagte, dass die Schwachstelle ein erhebliches Risiko darstellt, da sie Probleme wie Systeminstabilität und DoS-Angriffe verursachen könnte. Bedrohungsbenutzer könnten diese Schwachstelle ausnutzen, um betroffene Systeme wiederholt zum Absturz zu bringen, was zu potenziellem Datenverlust und Störungen im Betrieb führen könnte.

„In den letzten beiden Forschungsprojekten zum Common Log File System (CLFS) konnte ich in beiden Fällen Remote Code Execution erreichen“, schrieb er im Bericht. „Als ich jedoch einige Werte im PoC, an dem ich arbeitete, änderte, stellte ich fest, dass dies einen BSoD auf dem Zielsystem auslöste.“

Narvaja meldete die Schwachstelle erstmals am 20. Dezember 2023 an Microsoft, zusammen mit dem PoC, aber das Unternehmen reagierte im Februar 2024 nicht mehr, sagte Tyler Reguly, Associate Director für Sicherheitsforschung und -entwicklung bei Fortra, gegenüber Forbes und fügte hinzu, dass Microsoft erklärte, ihre Ingenieure könnten die Schwachstelle nicht reproduzieren und schlossen den Fall, ohne sie als Schwachstelle anzuerkennen oder einen Fix anzuwenden.

Derzeit gibt es keinen Workaround oder keine Minderung zur Behebung der CVE-2024-6768-Sicherheitsanfälligkeit. Diese Schwachstelle ist eine Sicherheitsanfälligkeit mittlerer Schwere, die mit 6,8 auf der CVSS bewertet wird, was bedeutet, dass es Chancen gibt, dass Hacker und andere böswillige Akteure diese Schwachstelle anvisieren könnten, um Störungen im Windows-Systemprozess zu verursachen.

In der Zwischenzeit empfahl Narvaja, dass Forscher und Fachleute ihre Systeme auf dem neuesten Stand halten und nach ungewöhnlichen Aktivitäten suchen, um das Risiko einer Ausnutzung zu verringern.