Af Eskil Sørensen, 13/08/24
En nyligt opdaget sårbarhed er dukket op i Common Log File System-driveren (CLFS.sys) i Windows.
Det skriver Infosecurity Magazine.
Sårbarheden har id’et CVE-2024-6768 og er blevet givet en CVSS-score på 6,8.
Problemet er opdaget af en sikkerhedsresearcher ved Fortra, der nævner, at fejlen kan gøre det muligt for en ikke-privilegeret bruger at forårsage et systemnedbrud, hvilket resulterer i Blue Screen of Death (BSOD). Udnyttelsen skal angiveligt være nem at udføre og ikke kræve brugerinteraktion.
Sårbarheden eksisterer på grund af ukorrekt validering af inputdata, og det er altså dette, der fører til en systemtilstand, der ikke kan genoprettes. Fejlen tillader en udformet værdi i et specifikt logfilformat, såsom en .BLF-fil, at udnytte systemet og tvinge det til at gå ned. Den berørte CLFS.sys-driver er integreret i Windows 10 og Windows 11 operativsystemer. Det betyder ifølge Infosecurity Magazines omtale af sagen, at alle versioner af disse operativsystemer er modtagelige, uanset opdateringer.
Udnyttelsen udnytter en specifik offset inden for CLFS-klientkontekststrukturen. Når den udføres, udnytter PoC sårbarheden og manipulerer systemet til en tilstand, der ikke kan genoprettes, der udløser KeBugCheckEx-funktionskaldet, en kernemekanisme i Windows, der er designet til at håndtere kritiske fejl.
Dette kald resulterer i Blue Screen of Death, som tvinger systemet til at genstarte. Sårbarhedens enkelhed og potentialet for gentagen udnyttelse gør den til en afgørende bekymring for organisationer, der er afhængige af Windows-systemer, fremgår det.
Researcheren bag fundet, Ricardo Narvaja oplyser, at sårbarheden udgør en ”betydelig risiko”, da den kan føre til systemustabilitet og denial of service (DoS)-angreb. En angriber kan udnytte denne fejl til gentagne gange at crashe berørte systemer, hvilket potentielt kan forårsage datatab og afbrydelse af driften. Med andre ord Blue Screen of Death, som det kaldes.
En CVSS-score på 6,8 indikerer, at den hører til i mellemkategorien i alvorlighedsgrad, hvilket kan undre, når der er tale om en lav angrebskompleksitet, der ikke kræver brugerinteraktion og konsekvenserne potentielt alvorlige. Men årsagen til den lave score er sandsynligvis, at angrebsvektoren er lokal, hvilket betyder, at den skal udføres på selve systemet, og at der deri findes en begrænsning, der godtgør den lavere score.
Sårbarheden er kategoriseret under CWE-begrebet 'Improper Validation of Specific Quantity in Input' (CWE-1284).
Links:
https://www.infosecurity-magazine.com/news/vulnerability-windows-driver/