Windows’un Ortak Günlük Dosya Sistemi (CLFS.sys) sürücüsünde yeni keşfedilen bir güvenlik açığı tespit edildi. Bu güvenlik açığı, Windows 10, Windows 11 ve çeşitli Windows Server sürümlerini çalıştıran milyonlarca cihazı etkileyebilir.
CVE-2024-6768 olarak izlenen bu güvenlik açığı, kimliği doğrulanmış düşük ayrıcalıklı kötü niyetli bir kullanıcının, KeBugCheckEx işlevine zorla çağrı yaparak Mavi Ekran Ölümü (BSOD) tetiklemesine olanak tanır ve bu da sistem kararsızlığına ve hizmet reddi (DoS) saldırılarına yol açar.
Bu kusur, CWE-1284 altında kategorilendirilen giriş verilerindeki belirtilen niceliklerin uygunsuz bir şekilde doğrulanmasına atfedilir. Bu güvenlik açığı, kurtarılamaz bir sistem durumuna neden olabilir ve bir saldırganın etkilenen sistemleri tekrar tekrar çökertmesini mümkün kılarak potansiyel olarak veri kaybına ve operasyonel kesintilere neden olabilir.
Free Webinar on Detecting & Blocking Supply Chain Attack -> Book your Spot
Fortra’da baş istismar yazarı olan Ricardo Narvaja, Windows ortak günlük dosya sistemi tarafından kullanılan bir format olan .BLF dosyasındaki belirli değerleri istismar eden bir kavram kanıtı (PoC) yoluyla bu güvenlik açığını gösterdi.
Bu PoC, yetkisiz bir kullanıcının, kullanıcı etkileşimi gerektirmeden sistem çökmesine neden olabileceğini göstererek, güvenlik açığının saldırı karmaşıklığının düşük olduğunu vurgulamaktadır.
Common Vulnerability Scoring System (CVSS)’de 6,8’lik orta şiddet derecesine rağmen, güvenlik açığı tekrar tekrar istismar edilme potansiyeli nedeniyle önemli bir risk oluşturmaktadır. Saldırı vektörü yereldir, yani sistemin kendisinde gerçekleştirilmesi gerekir, bu da olası saldırıların kapsamını bir nebze sınırlar.
Bu keşif, CrowdStrike’ı ilgilendiren yakın tarihli önemli bir sorunun ardından geldi. Bu sorunda hatalı bir güvenlik güncellemesi, kurumsal ve iş bilgisayarlarında yaygın BSOD’lara yol açmıştı.
CrowdStrike sorunu, benzer sistem çökmelerine neden olan Falcon yazılımlarındaki hatalı bir IPC Şablon Türü ile ilişkilendirildi. Bu olaylar, bu tür güvenlik açıklarını azaltmak için sağlam güvenlik önlemlerini sürdürmenin ve olağandışı etkinlikler için sistemleri izlemenin kritik doğasını vurgular.
Şu anda CVE-2024-6768 için bilinen bir azaltma veya yama bulunmamaktadır. Windows 10, Windows 11 ve çeşitli Windows Server sürümlerinde CLFS.sys sürücüsünü etkileyen güvenlik açığı, düşük ayrıcalıklı bir kullanıcının uygunsuz giriş doğrulaması yoluyla Mavi Ekran Ölümüne (BSOD) neden olmasına olanak tanır.
Are you from SOC and DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Access