Windows の脆弱性 CVE-2026-2636 に PoC:CLFS ドライバーの問題によるBSoD クラッシュを実証

PoC Released for Windows Vulnerability That Allows Attackers to Cause Unrecoverable BSOD Crashes

2026/02/26 CyberSecurityNews — 脆弱性 CVE-2026-2636 (CVSS:5.5) に対する PoC エクスプロイトが公開された。この Denial-of-Service (DoS) の脆弱性は、Windows の Common Log File System (CLFS) ドライバーに存在する。低権限ユーザーであっても、対象システムを即座にクラッシュさせ、回復不能な Blue Screen of Death (BSoD) に陥れることが可能である。この脆弱性は、Fortra の Ricardo Narvaja による CLFS 研究の過程で発見されたものだ。

この脆弱性の原因は、CLFS.sys (検証バージョン 10.0.22621.5037) 内の CLFS!CClfsRequest::ReadLogPagingIo 関数における flag 検証不備にある。

特定の Windows API 呼び出しシーケンスにおいて、CLFS ドライバーが重要 flag が無効化されている状態の IRP (I/O Request Packet) を処理する際に、nt!KeBugCheckEx が直接呼び出される。これは Windows のカーネル・パニック・ハンドラーであり、不可逆クラッシュ状態を引き起こす。

関連する 2 つの主要 flag は以下である。

  • IRP_PAGING_IO(0x02)
    memory paging 操作に関連する I/O 要求であることを示す。
  • IRP_INPUT_OPERATION
    入力データ転送を伴う I/O 操作を示す。

ReadLogPagingIo が正しい処理を実行するためには、いずれかの flag が有効化されている必要がある。この PoC が実証するのは、両方が無効 (AL = 0x0) の状態のケースであり、その結果としてドライバーは誤った実行経路へと進む。

研究中に確認された内部 flag 値 (0x42) については、Microsoft の公開ドキュメントに記載がなく、カーネル・ドキュメントの不足が示唆される。

BSOD Screen
BSOD Screen (source: coresecurity)

“user-space” から標準 ReadFile API 呼び出しにより開始される BSoD クラッシュ・チェーンは致命的なものである。取得された kernel call stack は以下である。

nt!DbgBreakPointWithStatus
nt!KiBugCheckDebugBreak+0x12
nt!KeBugCheck2+0xba3
nt!KeBugCheckEx+0x107
CLFS!CClfsRequest::ReadLogPagingIo+0xfc2f
CLFS!CClfsRequest::Dispatch+0x9c
CLFS!ClfsDispatchIoRequest+0x8e
CLFS!CClfsDriver::LogIoDispatch+0x27
nt!IofCallDriver+0x55
nt!IopSynchronousServiceTail+0x46f
nt!IopReadFile+0x4d4
nt!NtReadFile+0xdb

この呼び出しは KERNELBASE!ReadFile から始まり、nt!NtReadFile を経由する。そして CLFS dispatch チェーンを通過する。その時の不整合状態により、KeBugCheckEx が呼び出される。特権昇格は不要であり、マルチ・ユーザー環境や共有エンタープライズ環境において特に危険である。

The PoC triggers nt!KeBugCheckEx causing a system crash (source : coresecurity )
The PoC triggers nt!KeBugCheckEx is causing a system crash (source: coresecurity )


この PoC で用いられるのは、わずか 2 つの API 呼び出しのみである細工されたバイナリ・ファイルやヒープ・スプレーは不要である。

攻撃手順は以下である。

  • CreateLogFile で有効な .blf log file handle を取得する。
  • その直後に、この handle 上で ReadFile を呼び出す。
meaning of IRP_PAGING_IO (source : coresecurity)
meaning of IRP_PAGING_IO (source: coresecurity)

この組み合わせは、CLFS ドライバーにとって想定外のものである。このコンテキストにおいて、ReadFile が CLFS log handle に対して使用される設計にはなっていない。そのため、ドライバーによる不適切な処理が行われカーネル・パニックに至る。

この PoC の単純さは、悪用の障壁を大幅に引き下げるものだ。スキルの低い攻撃者であっても、エンタープライズ Windows 環境における DoS 攻撃ツールとして利用可能である。

この脆弱性は、2025年09月の Windows 11 2024 LTSC および Windows Server 2025 向けの累積アップデートで修正済みであると、Ricardo Narvaja は述べている。また、2025年09月公開の Windows 25H2 には修正が含まれている。しかし Windows 11 23H2 以下のバージョンは未修正であり、脆弱な状態である。

この件は、CLFS.sys における長年の脆弱性パターンに沿ったものである。これまでの脆弱性には、CVE-2022-37969/CVE-2023-28252/CVE-2024-6768/CVE-2025-29824 などが含まれる。

緩和策と推奨事項
  • 2025年09月以降の累積アップデートを速やかに適用する。
  • Windows 11 2024 LTSC/Windows 25H2 へアップグレードする。
  • local logon アクセスを制限する。攻撃ベクターは Local (AV:L) である。
  • CLFS API 呼び出しの異常を監視する。特に log file handle に対する ReadFile 呼び出しを検知する。
  • マルチ・ユーザー環境/エンタープライズ環境でのパッチ適用を優先する。

未修正の Windows 11 23H2 以前を使用している組織は、この件を高優先度の対応事項として扱うべきである。特に、システムの可用性が重要であり、ローカル・アクセス制限が困難な環境では緊急性が高い。

Windows のログ管理を担う Common Log File System (CLFS) ドライバーに、深刻な脆弱性 CVE-2026-2636 が存在します。低権限のユーザーであっても、この脆弱性の悪用により、システムを即座にクラッシュさせ、ブルー画面 (BSoD) を引き起こすことが可能だとされます。さらに、PoC エクスプロイト・コードが公開され、Windows バージョンの確認などが、喫緊のテーマとなっています。この脆弱性の恐ろしさは、特別なハッキング技術や複雑なコードを必要とせず、わずか2つの標準的な Windows API を呼び出すだけで、攻撃が成立してしまう点にあります。具体的には、ログファイルを開くための CreateLogFile を実行した後に、本来の設計では想定されていない ReadFile を、そのハンドルに対して呼び出すだけで、カーネル内部で修復不可能な矛盾が生じ、Windows が強制終了されます。よろしければ、Windows CLFS での検索結果も、ご参照ください。