Вслед за недавним фиаско с обновлением CrowdStrike, которое оставило миллионы компьютеров на Windows в цикле синего экрана смерти, появилась новая уязвимость, вызывающая свежие опасения среди пользователей и ИТ-специалистов. Согласно отчету компании по кибербезопасности Fortra от 12 августа, недавно выявленный недостаток в Windows может снова привести к печально известному синему экрану смерти, затрагивая все версии Windows 10 и Windows 11, независимо от того, были ли применены последние обновления безопасности.
CVE-2024-6768: Объяснение
Уязвимость, обозначенная как CVE-2024-6768, касается драйвера системы общего журнала Windows. Она возникает из-за неправильной проверки количества входных данных, что вызывает функцию KeBugCheckEx, приводящую к синему экрану смерти. Этот сценарий особенно тревожит пользователей Windows, которые недавно столкнулись с аналогичными проблемами из-за инцидента с CrowdStrike. Хотя потенциальные последствия эксплуатации значительны и не требуют взаимодействия пользователя, локальный характер вектора атаки привел к классификации этой уязвимости как средней степени риска.
Какие версии Windows затронуты CVE-2024-6768?
CVE-2024-6768 представляет угрозу для всех версий Windows 10 и Windows 11, а также Windows Server 2022. Уязвимость позволяет пользователю без привилегий вызвать сбой системы с помощью специально созданного файла, даже если система полностью обновлена последними патчами безопасности.
Рикардо Нарваха, главный разработчик эксплойтов в Fortra и автор отчета, подчеркнул последствия этой уязвимости: «Потенциальные проблемы включают нестабильность системы и отказ в обслуживании. Злоумышленники могут использовать эту уязвимость для многократного сбоя затронутых систем, нарушая работу и потенциально вызывая потерю данных.»
Хронология исследования CVE-2024-6768
Тайлер Регули, заместитель директора по исследованиям и разработкам безопасности в Fortra, поделился информацией о хронологии этой уязвимости. Microsoft была впервые уведомлена о проблеме в декабре 2023 года, но к февралю 2024 года компания перестала отвечать, утверждая, что не может воспроизвести уязвимость. Это утверждение резко контрастировало с возможностью Fortra воспроизвести результаты на нескольких системах, как виртуальных, так и физических. Регули отметил, что не было найдено ни одного обходного пути или смягчающего фактора и выразил скептицизм относительно вероятности исправления от Microsoft. Публикация отчета об уязвимости направлена на то, чтобы побудить Microsoft признать эксплуатационную возможность проблемы и рассмотреть возможность ее решения.
Полная хронология исследования
- 20 декабря 2023 года – Сообщено в Microsoft с доказательством концепции эксплойта.
- 8 января 2024 года – Microsoft ответила, что ее инженеры не смогли воспроизвести уязвимость.
- 12 января 2024 года – Fortra предоставила скриншот с версией Windows, работающей с обновлениями Patch Tuesday за январь, и дамп памяти сбоя.
- 21 февраля 2024 года – Microsoft ответила, что все еще не может воспроизвести проблему и поэтому закрывает дело.
- 28 февраля 2024 года – Fortra снова воспроизвела проблему с установленными обновлениями Patch Tuesday за февраль и предоставила дополнительные доказательства, включая видео с условиями сбоя.
- 19 июня 2024 года – Fortra сообщила о намерении получить CVE и опубликовать исследование.