Vulnerability in Windows Driver Leads to System Crashes
2024/08/12 InfoSecurity — Windows の CLFS.sys (Common Log File System) ドライバーに存在する脆弱性 CVE-2024-6768 が、Fortra のサイバー・セキュリティ研究者である Ricardo Narvaja により発見された。この脆弱性の悪用に成功した非特権の攻撃者は、システム・クラッシュを発生させ、Blue Screen of Death (BSOD) を引き起こす可能性を得る。この脆弱性は、入力データに対する不適切な検証に起因し、回復不可能なシステム状態につながる恐れがある。
影響を受ける CLFS.sys ドライバは、Windows 10/11 にとって不可欠なものであるため、アップデートの有無にかかわらず、これらの OS の全バージョンに影響が生じる可能性がある。
脆弱性 CVE-2024-6768 の概要
Windows CLFS.sys ドライバに存在する、この脆弱性 CVE-2024-6768 (CVSS:6.8) は、CWE-1284 (入力における指定された量の不適切な検証) に分類される。
この脆弱性の悪用に成功した攻撃者は、”.BLF” ファイルなどの特定のログファイル形式内で細工された値を悪用し、システムを強制的にクラッシュさせることが可能になる。この脆弱性は、低権限で簡単に悪用できるものであり、さらに、ユーザーによる操作を必要としない。
脆弱性 CVE-2024-6768 の発見者である Narvaja によると、この脆弱性から生じるリスクは高く、システムの不安定化やサービス拒否 (DoS:denial of service) 攻撃につながる可能性があるという。この欠陥を悪用に成功した攻撃者は、影響を受けるシステムを繰り返してクラッシュさせ、データ損失や業務の中断に陥らせる可能性を手にする。
この脆弱性を報告した Narvaja は、PoC ベクターを作成するなどし、クラッシュを再現するプロセスを文書化している。ただし、攻撃ベクターはローカルであり、対象システム自体で実行する必要がある。
この攻撃は、CLFS クライアント・コンテキスト構造内の、特定のオフセットを利用するものだ。重大なエラーを処理するために設計された、Windows のコア・メカニズムである KeBugCheckEx 関数コールを、この脆弱性の PoC エクスプロイトが実行されるとトリガーされ、システムは回復不可能な状態へと陥る。
つまり、この関数の呼び出しにより BSoD が発生し、システムが強制的に再起動される。この脆弱性は単純であり、繰り返し悪用される可能性があるため、Windows システムに依存する組織にとって、きわめて深刻な問題となる。
研究者や専門家たちに対して Narvaja が強く推奨するのは、システムを常にアップデートし、異常な動作を監視することで、悪用のリスクを減らすことだ。
Fortra のアドバイザリを確認してみたら、この脆弱性に関する Timeline が記載されていて、2023年12月の時点で、PoC と一緒に Microsoft に対して報告されていたようです。その後も、何度かコンタクトしていたようですが、Microsoft に否定され続けてきたようです。そして、2024年8月12日に CVE が発行されと記載されています。
IoT OT Security News 
You must be logged in to post a comment.