通用日志文件系统 (CLFS) 驱动程序中的一个简单的错误可以立即触发任何最新版本的 Windows 中臭名昭著的蓝屏死机。
CLFS 是一种用户模式和内核模式的日志服务,可帮助应用程序记录和管理日志。它也是黑客攻击的热门目标。
去年,在对其驱动程序进行实验时,Fortra的一名研究人员发现输入数据中对指定数量的验证不正确,这使他能够随意触发系统崩溃。他的概念验证 (PoC) 漏洞适用于所有经过测试的 Windows 版本(包括 10、11 和 Windows Server 2022),即使在最新的系统中也是如此。
“运行起来非常简单:运行一个二进制文件,调用一个函数,然后该函数会导致系统崩溃,”Fortra安全研发副总监Tyler Reguly解释道。为了证明它是多么简单,他补充说:“我可能不应该承认这一点,但是今天在从一个系统拖放它时,我不小心双击了它,我的服务器崩溃了。
CLFS 的 BSoD
标记为 CVE-2024-6768 的根本问题与基本日志文件 (BLF) 有关,这是一种包含用于管理日志的元数据的 CLFS 文件。
CLFS.sys驱动程序似乎没有充分验证 BLF 中特定字段(“IsnOwnerPage”)中的数据大小。任何可以访问 Windows 系统的攻击者都可以制作一个包含错误大小信息的文件,实际上可以混淆驱动程序。然后,由于无法解决不一致问题,它会触发 KeBugCheckEx,该函数会触发蓝屏崩溃。
CVE-2024-6768 在 CVSS 量表上获得了“中等”的 6.8 分(满分 10 分)。它不会影响数据的完整性或机密性,也不会导致任何未经授权的系统控制。但是,它确实允许肆意崩溃,这可能会中断业务运营或可能导致数据丢失。
或者,正如 Reguly 所解释的那样,它可以与其他漏洞配对以产生更大的效果。“对于攻击者来说,这是一个很好的方式,可以掩盖他们的踪迹,或者在他们不应该这样做的地方关闭一项服务,我认为这就是真正的风险所在,”他说。“这些系统意外重启,[你]忽略了崩溃,因为它又回来了,现在没事了,但这可能是有人隐藏了他们的活动——隐藏了他们希望它重启的事实,以便新设置生效。
看不到修复
Fortra 于去年 12 月 20 日首次报告了其调查结果。Reguly说,经过几个月的反复,Microsoft在没有承认这是一个漏洞或应用修复程序的情况下就结束了他们的调查。因此,在撰写本文时,无论它们如何更新,它都会在 Windows 系统中持续存在。
最近几周,Windows Defender一直在将Fortra的PoC识别为恶意软件。但是,除了运行 Windows Defender 并尝试避免运行任何利用它的二进制文件之外,在 Microsoft 发布补丁之前,组织无法处理 CVE-2024-6768。
Dark Reading 已联系 Microsoft 就 CVE-2024-6768 提供意见。
发表评论
您还未登录,请先登录。
登录