Новая уязвимость Windows вызывает BSOD на полностью обновленных ПК с Windows 10 и 11

Компания по кибербезопасности Fortra обнаружила новую уязвимость в драйвере Windows, которая вызывает печально известный BSOD (синий экран смерти) на полностью обновленных ПК с Windows.

Уязвимость, отслеживаемая как CVE-2024-6768, представляет собой отказ в обслуживании (DoS) в драйвере Common Log File System (CLFS.sys) Microsoft Windows 10, Windows 11, Windows Server 2016, Windows Server 2019 и Windows Server 2022, что позволяет злонамеренному аутентифицированному пользователю с низкими привилегиями вызвать BSOD через принудительный вызов функции KeBugCheckEx.

Недостаток существует из-за неправильной проверки указанного количества во входных данных (CWE-1284), что приводит к необратимой несоответствию в драйвере CLFS.sys.

Уязвимость CVE-2024-6768 затрагивает вышеупомянутые версии Windows независимо от того, были ли они обновлены всеми актуальными патчами безопасности.

«Потенциальные проблемы включают нестабильность системы и отказ в обслуживании», - сказал Рикардо Нарваха, главный автор эксплойтов компании Fortra и автор отчета, - «злонамеренные пользователи могут использовать эту уязвимость для многократного краха затронутых систем, нарушая работу и потенциально вызывая потерю данных».

Доказательство концепции (PoC), разработанное Нарвахой, показало, что путем создания значений в определенном формате лог-файла, таком как файл .BLF, можно позволить пользователю без привилегий использовать целевую систему и принудить ее к сбою без какого-либо взаимодействия с пользователем.

Нарваха сказал, что уязвимость представляет собой значительный риск, так как она может вызвать такие проблемы, как нестабильность системы и атаки DoS. Злоумышленники могут использовать этот недостаток для многократного краха затронутых систем, что приведет к потенциальной потере данных и нарушению работы.

«В последних двух исследованиях по Common Log File System (CLFS) мне удалось добиться удаленного выполнения кода в обоих случаях», - написал он в отчете. «Однако, когда я изменил некоторые значения в PoC, над которым я работал, я заметил, что это вызвало BSoD на целевой системе».

Нарваха впервые сообщил о уязвимости Microsoft 20 декабря 2023 года, вместе с PoC, но компания перестала отвечать в феврале 2024 года, сказал Тайлер Регули, заместитель директора по исследованиям и разработкам безопасности Fortra, добавив, что Microsoft заявила, что их инженеры не смогли воспроизвести уязвимость и закрыли дело, не признав это недостатком или не применив исправление.

В настоящее время нет обходных путей или мер по устранению уязвимости CVE-2024-6768. Этот недостаток является уязвимостью средней степени серьезности, оцененной в 6.8 по CVSS, что означает, что существует вероятность того, что хакеры и другие злонамеренные лица могут нацелиться на этот недостаток, чтобы вызвать сбой в процессе Windows.

Тем временем Нарваха рекомендовал исследователям и специалистам поддерживать свои системы в актуальном состоянии и проверять на наличие необычной активности, чтобы снизить риск эксплуатации.