Ortak Günlük Dosya Sistemi (CLFS) sürücüsündeki basit bir hata, Windows’un tüm yeni sürümlerinde anında kötü şöhretli mavi ölüm ekranı hatasına neden olabilir.
CLFS, uygulamaların günlükleri kaydetmesine ve yönetmesine yardımcı olan bir kullanıcı ve çekirdek modu günlük kaydı hizmetidir. Ayrıca popüler bir hackleme hedefi.
Geçtiğimiz yıl sürücüsüyle deneyler yaparken, bir Fortra araştırmacısı giriş verilerinde belirtilen niceliklerin uygunsuz bir şekilde doğrulandığını keşfetti ve bu da istediği zaman sistem çökmelerini tetiklemesine olanak tanıdı. Kavram kanıtı (PoC) istismarı, 10, 11 ve Windows Server 2022 dahil olmak üzere test edilen tüm Windows sürümlerinde, en güncel sistemlerde bile çalıştı.
“Çalıştırması çok basit: bir ikiliyi çalıştır, bir işlevi çağır ve bu işlev sistemin çökmesine neden olur,” diye açıklıyor Fortra’da güvenlik Ar-Ge’nin yardımcı direktörü Tyler Reguly. Ne kadar basit olduğunu göstermek için, “Muhtemelen bunu kabul etmemeliyim, ancak bugün onu sistemden sisteme sürükleyip bırakırken yanlışlıkla çift tıkladım ve sunucumu çökertti.” diye ekliyor.
CLFS’den BSoD
CVE-2024-6768 olarak etiketlenen temel sorun, günlükleri yönetmek için kullanılan meta verileri içeren bir CLFS dosyası türü olan temel günlük dosyalarını (BLF’ler) ilgilendiriyor.
CLFS.sys sürücüsü, BLF’deki belirli bir alandaki (“IsnOwnerPage”) verinin boyutunu yeterince doğrulamıyor gibi görünüyor. Bir Windows sistemine erişimi olan herhangi bir saldırgan, sürücüyü şaşırtmak için yanlış boyut bilgileri içeren bir dosya oluşturabilir. Ardından, tutarsızlığı çözemeyince, bir mavi ekran çökmesi.
CVE-2024-6768, CVSS ölçeğinde 10 üzerinden “orta” 6,8 puan almıştır. Verilerin bütünlüğünü veya gizliliğini etkilemez veya herhangi bir yetkisiz sistem kontrolüne neden olmaz. Ancak, iş operasyonlarını bozabilecek veya potansiyel olarak veri kaybına neden olabilecek kasıtlı çökmelere izin verir.
Veya, Reguly’nin açıkladığı gibi, daha büyük etki için diğer istismarlarla birleştirilebilir. “Bu, bir saldırganın izlerini örtmesi veya normalde yapamayacağı bir hizmeti devre dışı bırakması için iyi bir yoldur ve bence gerçek risk burada ortaya çıkar,” diyor. “Bu sistemler beklenmedik şekilde yeniden başlatılıyor, [you] Çökmeyi görmezden gelin çünkü tekrar açıldı ve şimdi iyi, ancak bu birisinin aktivitesini gizlemesi olabilir — yeni bir ayarın etkili olması için yeniden başlatılmasını istedikleri gerçeğini gizlemiş olabilirler.”
Görünürde bir çözüm yok
Fortra bulgularını ilk olarak geçen 20 Aralık’ta bildirdi. Reguly, aylarca süren ileri geri görüşmelerin ardından Microsoft’un bunu bir güvenlik açığı olarak kabul etmeden veya bir düzeltme uygulamadan soruşturmayı kapattığını söylüyor. Bu nedenle, bu yazının yazıldığı tarih itibarıyla, ne kadar güncel olurlarsa olsunlar Windows sistemlerinde varlığını sürdürüyor.
Son haftalarda Windows Defender, Fortra’nın PoC’sini kötü amaçlı yazılım olarak tanımladı. Ancak Windows Defender’ı çalıştırmanın ve onu kullanan herhangi bir ikili dosyayı çalıştırmaktan kaçınmanın dışında, Microsoft bir yama yayınlayana kadar kuruluşların CVE-2024-6768 ile başa çıkmak için yapabileceği hiçbir şey yok.
Dark Reading, CVE-2024-6768 ile ilgili olarak Microsoft’tan görüş istedi.