Търсене
Close this search box.

Обикновена грешка в драйвера на Common Log File System (CLFS) може незабавно да предизвика прословутия син екран на смъртта във всички последни версии на Windows.

CLFS е услуга за регистриране в потребителски и ядрен режим, която помага на приложенията да записват и управляват логове. Тя е и популярна цел за хакерски атаки.

Докато експериментираше с нейния драйвер миналата година, изследовател от Fortra откри неправилно валидиране на определени величини във входните данни, което му позволи да предизвиква сривове на системата по желание. Неговият експлойт за доказване на концепцията (PoC) работеше във всички тествани версии на Windows – включително 10, 11 и Windows Server 2022 – дори в най-съвременните системи.

„Изпълнението му е много просто: стартира се двоичен файл, извиква се функция и тази функция предизвиква срив на системата“, обяснява Тайлър Регули, асоцииран директор на отдела за изследвания и разработки в областта на сигурността във Fortra. За да демонстрира колко е просто, той добавя: „Вероятно не бива да си признавам, но при преместването му от система в система днес случайно щракнах два пъти върху него и сринах сървъра си.“

BSoD от CLFS

Основният проблем – обозначен като CVE-2024-6768 – се отнася до базови журнални файлове (BLF), вид CLFS файл, който съдържа метаданни, използвани за управление на логове.

Изглежда, че драйверът CLFS.sys не потвърждава адекватно размера на данните в конкретно поле – „IsnOwnerPage“ – в BLF. Всеки нападател с достъп до система Windows може да създаде файл с невярна информация за размера, за да обърка на практика драйвера. След това, неспособен да разреши несъответствието, той задейства KeBugCheckEx – функцията, която предизвиква срив на синия екран.

CVE-2024-6768 е получил „средна“ оценка 6,8 от 10 по скалата на CVSS. То не засяга целостта или поверителността на данните, нито предизвиква някакъв вид неоторизиран контрол на системата. Тя обаче позволява безразборни сривове, които могат да нарушат бизнес операциите или потенциално да причинят загуба на данни.

Или, както обяснява Регули, може да се съчетае с други експлойти за постигане на по-голям ефект. „Това е добър начин за атакуващия да прикрие следите си или да свали услуга, която иначе не би трябвало да може да свали, и мисля, че именно тук идва истинският риск“, казва той. „Тези системи се рестартират неочаквано, [вие] пренебрегвате срива, защото тя се е върнала и сега е наред, но това може да е било някой, който прикрива дейността си – прикривайки факта, че е искал тя да се рестартира, така че да влезе в сила нова настройка.“

Не се вижда поправка

Fortra съобщи за първи път за своите открития на 20 декември миналата година. След месеци на обратна връзка, казва Регули, Microsoft са приключили разследването, без да признаят, че това е уязвимост, или да приложат поправка. По този начин, към момента на писане на статията, тя продължава да съществува в системите Windows, без значение колко са актуализирани.

През последните седмици Windows Defender идентифицира PoC на Fortra като зловреден софтуер. Но освен да използвате Windows Defender и да се опитвате да избягвате стартирането на всякакви двоични файлове, които я използват, организациите не могат да направят нищо, за да се справят с CVE-2024-6768, докато Microsoft не пусне кръпка.

Dark Reading се обърна към Microsoft за информация относно CVE-2024-6768.

 

Източник: DARKReading

Подобни публикации

12 октомври 2024

SOC: Инструментите за откриване на заплахи ни з...

Специалистите от оперативните центрове за сигурност (SOC) изпитват ...
11 октомври 2024

Новата актуализация на GitLab отстранява осем у...

В четвъртък (В България петък през нощта) GitLab обяви нов кръг от ...
11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
11 октомври 2024

Предизвикателствата в областта на сигурността п...

Какви са приоритетите на CISO и лидерите по сигурността в сравнение...
Бъдете социални
Още по темата
09/10/2024

Microsoft потвърждава експл...

Във вторник Microsoft издаде спешно предупреждение...
03/10/2024

Microsoft представя Copilot...

Във вторник Microsoft представи нов инструмент...
02/10/2024

Eксплоатирани са уязвимости...

В понеделник американската агенция за киберсигурност...
Последно добавени
12/10/2024

SOC: Инструментите за откри...

Специалистите от оперативните центрове за сигурност...
11/10/2024

Новата актуализация на GitL...

В четвъртък (В България петък през...
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!