Nouvelle faille Windows provoquant un BSOD sur les PC Windows 10 et 11 entièrement mis à jour

La société de cybersécurité Fortra a découvert une nouvelle faille de sécurité dans un pilote Windows qui provoque le célèbre BSOD (Blue Screen of Death) sur les PC Windows entièrement mis à jour.

La vulnérabilité, suivie sous le nom CVE-2024-6768, est une déni de service (DoS) dans le pilote Common Log File System (CLFS.sys) de Microsoft Windows 10, Windows 11, Windows Server 2016, Windows Server 2019 et Windows Server 2022, qui permet à un utilisateur malveillant authentifié à faible privilège de provoquer un BSOD via un appel forcé à la fonction KeBugCheckEx.

La faille existe en raison d’une validation incorrecte d’une quantité spécifiée dans l’entrée (CWE-1284), entraînant une incohérence irrécupérable dans le pilote CLFS.sys.

La vulnérabilité CVE-2024-6768 affecte les versions de Windows mentionnées ci-dessus, qu’elles aient été mises à jour avec tous les correctifs de sécurité à ce jour ou non.

« Les problèmes potentiels incluent l’instabilité du système et le déni de service », a déclaré Ricardo Narvaja, principal rédacteur d’exploits chez Fortra et auteur du rapport, « les utilisateurs malveillants peuvent exploiter cette vulnérabilité pour faire planter à plusieurs reprises les systèmes affectés, perturbant les opérations et pouvant entraîner une perte de données. »

Une preuve de concept (PoC) conçue par Narvaja a révélé qu’en créant des valeurs dans un format de fichier journal spécifique, tel qu’un fichier .BLF, un utilisateur non privilégié pourrait exploiter le système cible et le forcer à planter sans aucune interaction de l’utilisateur.

Narvaja a déclaré que la vulnérabilité représente un risque significatif car elle pourrait causer des problèmes tels que l’instabilité du système et des attaques DoS. Les utilisateurs malveillants pourraient exploiter cette faille pour faire planter à plusieurs reprises les systèmes affectés, entraînant une perte de données potentielle et une perturbation des opérations.

« Lors des deux dernières recherches sur le Common Log File System (CLFS), j’ai pu obtenir une exécution de code à distance dans les deux cas », a-t-il écrit dans le rapport. « Cependant, lorsque j’ai modifié certaines valeurs dans la PoC sur laquelle je travaillais, j’ai observé que cela déclenchait un BSoD sur le système cible. »

Narvaja a d’abord signalé la vulnérabilité à Microsoft le 20 décembre 2023, avec la PoC, mais la société est devenue non réactive en février 2024, a déclaré Tyler Reguly, directeur associé de la recherche et du développement en sécurité chez Fortra, ajoutant que Microsoft a déclaré que leurs ingénieurs n’avaient pas pu reproduire la vulnérabilité et ont fermé le dossier sans la reconnaître comme une faille ou appliquer un correctif.

Actuellement, il n’existe aucun contournement ou atténuation pour corriger la vulnérabilité CVE-2024-6768. Cette faille est une faille de sécurité de gravité moyenne, notée 6,8 sur le CVSS, ce qui signifie qu’il y a des chances que des hackers et d’autres acteurs malveillants ciblent cette faille pour provoquer des perturbations dans le processus système Windows.

Entre-temps, Narvaja a recommandé aux chercheurs et aux professionnels de maintenir leurs systèmes à jour et de vérifier les activités inhabituelles pour réduire le risque d’exploitation.