先月はCrowdStrikeの不具合により、世界中の多くのPCでブルースクリーンが発生し、システムが停止するという大きな問題が発生しました。
CrowdStrikeのBSOD障害は、セキュリティアップデートの失敗が原因でしたが、今回、サイバーセキュリティ企業Fortraは、BSODを引き起こす新たなセキュリティ上の欠陥がWindowsドライバに存在することを発見しています。
Common Log File Systemの処理を担当するWindowsのCLFS.SYSドライバが問題の根源で、入力の不適切な検証によって引き起こされ、最終的にBSODが発生するとのこと。完全にアップデートされたWindows 10/11システムでもこの脆弱性の影響をうけ、悪意のあるユーザーが脆弱性を利用して、システムを繰り返しクラッシュさせることが可能となります。
この問題は、CVE-2024-6768で追跡されており、FortraのNicardo Narvaja氏は次のように説明しています。
CVE-2024-6768 is a vulnerability in the Common Log File System (CLFS.sys) driver of Windows, caused by improper validation of specified quantities in input data. This flaw leads to an unrecoverable inconsistency, triggering the KeBugCheckEx function and resulting in a Blue Screen of Death (BSoD). The issue affects all versions of Windows 10 and Windows 11, despite having all updates applied.
CVE-2024-6768 は、Windows の Common Log File System (CLFS.sys) ドライバに存在する脆弱性で、入力データ中の指定数量の不適切な検証により発生します。この欠陥により、回復不可能な不整合が発生し、KeBugCheckEx関数がトリガーされ、ブルースクリーンオブデス(BSoD)が発生します。この問題は、すべてのアップデートが適用されているにもかかわらず、Windows 10およびWindows 11のすべてのバージョンに影響します。
A Proof of Concept (PoC) shows that by crafting specific values within a .BLF file, an unprivileged user can induce a system crash. The potential problems include system instability and denial of service, as malicious users can exploit this vulnerability to repeatedly crash affected systems, disrupting operations and potentially causing data loss.
概念実証(PoC)は、.BLFファイル内の特定の値を細工することで、非特権ユーザーがシステムクラッシュを誘発できることを示している。悪意のあるユーザーがこの脆弱性を悪用して、影響を受けたシステムを繰り返しクラッシュさせ、オペレーションを中断させ、データ損失を引き起こす可能性があるため、潜在的な問題としては、システムの不安定性やサービス拒否などがある。
幸い(?)、ローカル攻撃であるため、CLFSのベース・ログ・ファイル(BLF)を操作しようとする攻撃者は、システムに物理的にアクセスする必要があります。
今回発見された脆弱性は、Microsoftが2023年11月の月例更新プログラム(Windows 10 KB5032189およびWindows 11 KB5032190)で対処したCVE-2023-36424 LPE(ローカル特権の昇格)と類似しています。
Windowsでは最近、完全にアップデートされたWindows PCをダウンロードすることができるという別の脆弱性が見つかっています。
[via Neowin]
