行業新聞與博客

Windows 的通用日誌文件系統 (CLFS.sys) 驅動程序中出現了一個新發現的漏洞，編號為 CVE-2024-6768。 

Fortra 網絡安全研究員 Ricardo Narvaja 發現的這個問題凸顯了一個漏洞，該漏洞可能允許非特權用户導致系統崩潰，從而導致藍屏死機 (BSOD)。 

該漏洞是由於輸入數據驗證不當而存在的，導致系統狀態無法恢復。

受影響的 CLFS.sys 驅動程序是 Windows 10 和 Windows 11 操作系統不可或缺的一部分，這意味着無論是否更新，這些操作系統的所有版本都容易受到攻擊。 

Windows CLFS.sys 驅動程序中的 CVE-2024-6768 漏洞概述

該漏洞允許在特定日誌文件格式（例如 .BLF 文件）中編寫值來利用系統並迫使其崩潰。該漏洞很容易以低權限執行，並且不需要用户交互。

Narvaja 表示，該漏洞構成重大風險，因為它可能導致系統不穩定和拒絕服務 (DoS) 攻擊。攻擊者可以利用此漏洞反覆使受影響的系統崩潰，從而可能導致數據丟失和運營中斷。 

研究人員報告了該漏洞並記錄了重現崩潰的過程，包括創建內容證明（PoC）向量。

CVE-2024-6768 的 CVSS 基本評分為 6.8，表示嚴重程度為中等。該漏洞在通用弱點枚舉 (CWE) 中被歸類為“輸入中指定數量的驗證不當”(CWE-1284)。

攻擊媒介是本地的，這意味着它必須在系統本身上執行，並且攻擊複雜度較低，因此技術不太熟練的攻擊者也可以訪問。

該漏洞利用了 CLFS 客户端上下文結構中的特定偏移量。執行後，PoC 會利用該漏洞，將系統置於不可恢復的狀態，從而觸發 KeBugCheckEx 函數調用，這是用於處理嚴重錯誤的核心 Windows 機制。

此調用會導致 BSoD，從而強制系統重新啓動。該漏洞的簡單性和重複利用的可能性使其成為依賴 Windows 系統的組織的關鍵關注點。

Narvaja 鼓勵研究人員和專業人員保持系統更新並監控異常活動，以降低被利用的風險。