Nuova vulnerabilità di Windows che provoca BSOD su PC Windows 10 e 11 completamente aggiornati

La società di cybersecurity Fortra ha scoperto una nuova vulnerabilità di sicurezza in un driver di Windows che sta causando il famigerato BSOD (Blue Screen of Death) su PC Windows completamente aggiornati.

La vulnerabilità, tracciata come CVE-2024-6768, è un attacco di negazione di servizio (DoS) nel driver del Common Log File System (CLFS.sys) di Microsoft Windows 10, Windows 11, Windows Server 2016, Windows Server 2019 e Windows Server 2022, che consente a un utente autenticato a basso privilegio di causare un BSOD tramite una chiamata forzata alla funzione KeBugCheckEx.

La falla esiste a causa di una convalida impropria di una quantità specificata in input (CWE-1284), portando a un’incoerenza irreversibile nel driver CLFS.sys.

La vulnerabilità CVE-2024-6768 colpisce le versioni di Windows sopra menzionate indipendentemente dal fatto che siano state aggiornate con tutte le patch di sicurezza fino ad oggi.

“I problemi potenziali includono instabilità del sistema e negazione di servizio,” ha dichiarato Ricardo Narvaja, principale scrittore di exploit presso la società di cybersecurity Fortra e autore del rapporto, “gli utenti malintenzionati possono sfruttare questa vulnerabilità per far crashare ripetutamente i sistemi colpiti, interrompendo le operazioni e causando potenzialmente perdita di dati.”

Una prova di concetto (PoC) progettata da Narvaja ha rivelato che, creando valori in un formato specifico di file di log, come un file .BLF, un utente non privilegiato potrebbe sfruttare il sistema target e costringerlo a crashare senza alcuna interazione dell’utente.

Narvaja ha affermato che la vulnerabilità rappresenta un rischio significativo poiché potrebbe causare problemi come instabilità del sistema e attacchi DoS. Gli utenti minacciosi potrebbero sfruttare questa falla per far crashare ripetutamente i sistemi colpiti, con conseguente potenziale perdita di dati e interruzione delle operazioni.

“Negli ultimi due progetti di ricerca sul Common Log File System (CLFS), sono riuscito a ottenere l’esecuzione remota di codice in entrambi i casi,” ha scritto nel rapporto. “Tuttavia, quando ho modificato alcuni valori nella PoC su cui stavo lavorando, ho osservato che ha attivato un BSoD sul sistema target.”

Narvaja ha segnalato per la prima volta la vulnerabilità a Microsoft il 20 dicembre 2023, insieme alla PoC, ma l’azienda è diventata non reattiva a febbraio 2024, ha detto Tyler Reguly, direttore associato della ricerca e sviluppo della sicurezza di Fortra, aggiungendo che Microsoft ha dichiarato che i loro ingegneri non sono riusciti a riprodurre la vulnerabilità e hanno chiuso il caso senza riconoscerlo come una falla o applicare una correzione.

Attualmente, non esiste una soluzione alternativa o una mitigazione per risolvere la vulnerabilità CVE-2024-6768. Questa falla è una vulnerabilità di sicurezza di gravità media valutata 6.8 nel CVSS, il che significa che ci sono possibilità che hacker e altri attori malintenzionati possano mirare a questa falla per causare interruzioni nel processo di sistema di Windows.

Nel frattempo, Narvaja ha raccomandato a ricercatori e professionisti di mantenere i propri sistemi aggiornati e controllare attività insolite per ridurre il rischio di sfruttamento.