Обикновена грешка в драйвера на Common Log File System (CLFS) може незабавно да предизвика прословутия син екран на смъртта във всички последни версии на Windows.
CLFS е услуга за регистриране в потребителски и ядрен режим, която помага на приложенията да записват и управляват логове. Тя е и популярна цел за хакерски атаки.
Докато експериментираше с нейния драйвер миналата година, изследовател от Fortra откри неправилно валидиране на определени величини във входните данни, което му позволи да предизвиква сривове на системата по желание. Неговият експлойт за доказване на концепцията (PoC) работеше във всички тествани версии на Windows – включително 10, 11 и Windows Server 2022 – дори в най-съвременните системи.
„Изпълнението му е много просто: стартира се двоичен файл, извиква се функция и тази функция предизвиква срив на системата“, обяснява Тайлър Регули, асоцииран директор на отдела за изследвания и разработки в областта на сигурността във Fortra. За да демонстрира колко е просто, той добавя: „Вероятно не бива да си признавам, но при преместването му от система в система днес случайно щракнах два пъти върху него и сринах сървъра си.“
Основният проблем – обозначен като CVE-2024-6768 – се отнася до базови журнални файлове (BLF), вид CLFS файл, който съдържа метаданни, използвани за управление на логове.
Изглежда, че драйверът CLFS.sys не потвърждава адекватно размера на данните в конкретно поле – „IsnOwnerPage“ – в BLF. Всеки нападател с достъп до система Windows може да създаде файл с невярна информация за размера, за да обърка на практика драйвера. След това, неспособен да разреши несъответствието, той задейства KeBugCheckEx – функцията, която предизвиква срив на синия екран.
CVE-2024-6768 е получил „средна“ оценка 6,8 от 10 по скалата на CVSS. То не засяга целостта или поверителността на данните, нито предизвиква някакъв вид неоторизиран контрол на системата. Тя обаче позволява безразборни сривове, които могат да нарушат бизнес операциите или потенциално да причинят загуба на данни.
Или, както обяснява Регули, може да се съчетае с други експлойти за постигане на по-голям ефект. „Това е добър начин за атакуващия да прикрие следите си или да свали услуга, която иначе не би трябвало да може да свали, и мисля, че именно тук идва истинският риск“, казва той. „Тези системи се рестартират неочаквано, [вие] пренебрегвате срива, защото тя се е върнала и сега е наред, но това може да е било някой, който прикрива дейността си – прикривайки факта, че е искал тя да се рестартира, така че да влезе в сила нова настройка.“
Fortra съобщи за първи път за своите открития на 20 декември миналата година. След месеци на обратна връзка, казва Регули, Microsoft са приключили разследването, без да признаят, че това е уязвимост, или да приложат поправка. По този начин, към момента на писане на статията, тя продължава да съществува в системите Windows, без значение колко са актуализирани.
През последните седмици Windows Defender идентифицира PoC на Fortra като зловреден софтуер. Но освен да използвате Windows Defender и да се опитвате да избягвате стартирането на всякакви двоични файлове, които я използват, организациите не могат да направят нищо, за да се справят с CVE-2024-6768, докато Microsoft не пусне кръпка.
Dark Reading се обърна към Microsoft за информация относно CVE-2024-6768.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.