在全球IT还对CrowdStrike造成Windows蓝屏宕机(BSOD)心有余悸之时,安全公司Fortra公开了可造成Windows蓝屏的漏洞CVE-2024-6768,攻击者对CLFS.sys驱动程序发动DoS攻击,进而导致Windows系统蓝屏宕机。
CLFS.sys是微软Windows中的驱动程序,负责管理通用日志文件系统(CLFS)。CLFS提供支持应用程序和系统组件进行日志记录的框架,能够管理多日志流媒体(Log Stream),这些日志流媒体可用于系统恢复、数据同步和精确的操作关注。
CVE-2024-6768是一个与CLFS.sys有关的拒绝服务(DoS)漏洞,这个漏洞影响了Windows 10、Windows 11、Windows Server 2016、Windows Server 2019和2022版本。该漏洞允许恶意且经过身份验证的低权限用户,利用CLFS.sys中的缺陷,通过特定操作强制调用核心函数KeBugCheckEx,进而导致Windows蓝屏宕机。
攻击者利用CVE-2024-6768漏洞导致系统进入蓝屏宕机状态,致使系统暂时无法使用,通过反复引发该漏洞,便能持续阻止系统正常运行,使组织的系统长时间停机。重要服务器或是系统发生蓝屏宕机导致业务中断,特别是对于涉及财务交易、客户服务或是核心业务的系统,可能会使数据丢失,对企业运营造成影响。
这个漏洞虽然不会直接造成数据泄露或是系统入侵,但是会明显影响系统的稳定性和可靠性,降低用户对系统的信任度。
Fortra在去年底的时候就发现这个漏洞,提报给微软并且附带概念性验证攻击程序代码,但是微软的工程师却在1月的时候回复无法重现漏洞,于是Fortra又提交了更多系统内存崩溃倾印和截屏给微软,但微软仍然表示无法重现问题,还关闭了案件。
Fortra在2月底的时候再次重现该漏洞,并提供更多证据给微软,在6月时通知微软将申请CVE,最近Fortra在8月8日仍在最新更新的Windows 11和Windows Server 2022系统重现该漏洞,并在8月12日对外公开。
