A meno di un mese dalla debacle di CrowdStrike, una nuova minaccia si annida in ogni computer del mondo. Ricercatori di sicurezza hanno scoperto una vulnerabilità nel comune sistema di file di registro di Windows che potrebbe causare la schermata blu della morte. Il bug riguarda tutti i computer Windows 10 e Windows 11, anche quelli con tutti gli aggiornamenti di sicurezza.
Secondo NeowinGli esperti della società di cybersicurezza Fortra hanno scoperto una vulnerabilità che potrebbe portare alla temuta schermata blu. La falla si trova nel driver del file system del registro comune di Windows (CLF.sys). e può indurre un arresto anomalo del sistema. Secondo i ricercatori, un utente non privilegiato potrebbe attivare una schermata blu indotta da un denial-of-service.
La vulnerabilità è stata scoperta il 19 dicembre 2023 e segnalata a Microsoft.. I ricercatori hanno dimostrato che il bug era riproducibile con le patch di sicurezza aggiornate e hanno incluso uno screenshot del dump della memoria. Nonostante le prove, Microsoft ha dichiarato che i suoi ingegneri non sono stati in grado di replicare il bug.
Chi è interessato dalla nuova vulnerabilità che causa le schermate blu in Windows?
Fortra ha pubblicato la descrizione della vulnerabilità CVE-2024-6768nota come Negazione del servizio in CLFS.sys:
“Una negazione del servizio in CLFS.sys su Microsoft Windows 10, Windows 11, Windows Server 2016, Windows Server 2019 e Windows Server 2022 consente a un utente malintenzionato autenticato con privilegi bassi di causare una schermata blu della morte attraverso una chiamata forzata alla funzione KeBugCheckEx”.
A differenza di CrowdStrike, che è stato innescato da un aggiornamento non riuscito, la vulnerabilità scoperta da Fortra riguarda tutti i computer. Il bug mette a rischio il tutti i PC Windows 10 e Windows 11, nonché Windows Server 2016 e Windows Server 2019.
Secondo Ricardo Narvaja, autore del rapporto di Fortra, la vulnerabilità in CLFS.sys aprirebbe le porte a una situazione caotica, simile a quella che abbiamo visto con CrowdStrike.
“Un proof of concept (PoC) dimostra che creando valori specifici all’interno di un file .BLF, un utente non privilegiato può indurre un crash del sistema”, ha affermato. “I problemi potenziali includono l’instabilità del sistema e il denial of service, in quanto gli utenti malintenzionati possono sfruttare questa vulnerabilità per mandare ripetutamente in crash i sistemi interessatiinterrompendo le operazioni e causando potenzialmente la perdita di dati”.
È in arrivo un nuovo CrowdStrike?
Per ora, Microsoft non ha commentato questo fatto. Fortra menziona nella sua cronologia che la società ha smesso di rispondere a febbraioquando non è stata in grado di replicare la vulnerabilità internamente. La debacle di CrowdStrike e le sue potenziali implicazioni finanziarie probabilmente accelereranno il lavoro per risolvere questa falla di sicurezza.
Alla fine di luglio Microsoft ha dichiarato che Il fallimento di CrowdStrike dovrebbe essere preso come un campanello d’allarme. “Questo incidente dimostra chiaramente che Windows deve dare priorità al cambiamento e all’innovazione nell’area della resilienza end-to-end”, ha dichiarato John Cable, vicepresidente della gestione dei programmi per Windows Service and Delivery.