上个月,全球大量Windows企业和商业电脑遭遇了有史以来最大的一次全球计算故障。这是CrowdStrikeFalconIPC模板类型漏洞造成的后果,网络安全公司本月发布了有关该问题的最终报告。这一切导致了臭名昭著的全球PC蓝屏死机(BSOD),其根源在于最初的WindowsNT(3.1版)时代。
虽然CrowdStrikeBSOD故障是安全更新失败造成的,但网络安全公司Fortra在Windows驱动程序中发现了一个新的触发BSOD的安全漏洞,已完全更新的Windows系统也会受到该漏洞的影响。
该公司解释说,负责处理通用日志文件系统(CommonLogFIleSystem)的WindowsCLFS.SYS驱动程序是该问题的根源,会因验证不当(CWE-1284)而触发,从而导致拒绝服务引发的BSOD。该问题的跟踪ID为"CVE-2024-6768"。Fortra的NicardoNarvaja写道:
CVE-2024-6768是Windows的通用日志文件系统(CLFS.sys)驱动程序中的漏洞,由输入数据中指定数量的不恰当验证引起。该漏洞会导致无法恢复的不一致,触发KeBugCheckEx函数并导致蓝屏死机(BSoD)。尽管已应用所有更新,该问题仍会影响所有版本的Windows10和Windows11。
概念验证(PoC)表明,通过在.BLF文件中设置特定值,未授权用户可以诱发系统崩溃。潜在的问题包括系统不稳定性和拒绝服务,因为恶意用户可以利用这个漏洞反复使受影响的系统崩溃,从而中断运行并可能导致数据丢失。
好的一面是,这是一个在本地实施攻击才会实现的漏洞,因此试图操纵CLFS基本日志文件(BLF)的威胁行为者需要对系统进行物理访问。您可以在这里找到有关概念验证(PoC)的技术细节:
https://nvd.nist.gov/vuln/detail/CVE-2024-38076
该漏洞与CVE-2023-36424LPE(本地权限升级)类似,微软去年通过11月2023日的补丁星期二更新(Windows10的KB5032189和Windows11的KB5032190)解决了该漏洞。
这一安全漏洞报告紧随我们上周报道的另一个问题而来,即一台已完全更新的Windows电脑可能会被诱骗永久降级,然后再利用它的漏洞。