Il mese scorso, un gran numero di PC aziendali e professionali con Windows 11 e Windoows 10 in tutto il mondo ha affrontato una delle più grandi interruzioni informatiche globali di tutti i tempi.
Questo è stato il risultato di un modello IPC difettoso di CrowdStrike Falcon, e questo mese l’azienda di cybersecurity ha pubblicato il suo rapporto finale sull’incidente e tutto ciò ha portato ai famigerati Blue Screens of Death (BSOD, letteralmente “schermate blu della morte”), che affondano le loro radici nei primi tempi dei primissimi Windows NT (per farti capire, è una cosa che comincia da Windows 3.1).
Windows 11 e Windows 10: purtroppo è arrivata una nuova falla
Mentre l’interruzione del BSOD causata da CrowdStrike è stata una conseguenza di un aggiornamento di sicurezza fallito, una nuova falla di sicurezza che provoca BSOD è stata scoperta in un driver di Windows dalla società di cybersecurity Fortra, e i sistemi Windows completamente aggiornati sono interessati da questa vulnerabilità.
Sebbene di solito gli aggiornamenti di Windows 11 e Windows 10 sia un “passo necessario” farli, in alcuni casi prima di procedere è meglio sentire cos’ha da dire la casa produttrice (Microsoft in questo caso): questo è uno di questi casi.
Sebbene il disastro CrowdStrike sia stato tecnicamente risolto, continua indirettamente a fare danni su sistemi operativi Windows e Linux Red Hat in alcuni casi, nel caso di sistemi operativi Linux e macOS l’equivalente della schermata blu di Windows 11 e Windows 10 viene definita “Kernel Panic“, ma questa è un’altra storia.
La parola agli esperti su file di sistema di Windows 11 e Windows 10
La società spiega che il driver CLFS.SYS di Windows, responsabile della gestione del sistema di file di log comuni (Common Log File System), è alla radice del problema, che viene innescato da una convalida impropria (CWE-1284), portando così a un BSOD indotto da un attacco di negazione del servizio. Il problema è monitorato con l’ID “CVE-2024-6768.” Nicardo Narvaja di Fortra scrive:
CVE-2024-6768 è una vulnerabilità nel driver del Common Log File System (CLFS.sys) di Windows, causata da una convalida impropria delle quantità specificate nei dati di input. Questo difetto porta a un’incoerenza irrecuperabile, attivando la funzione KeBugCheckEx e risultando in un Blue Screen of Death (BSoD). Il problema riguarda tutte le versioni di Windows 10 e Windows 11, nonostante siano stati applicati tutti gli aggiornamenti.
Una prova di concetto (PoC) dimostra che, creando valori specifici all’interno di un file .BLF, un utente senza privilegi può indurre un crash di sistema. I potenziali problemi includono instabilità del sistema e negazione del servizio, poiché utenti malintenzionati possono sfruttare questa vulnerabilità per far crashare ripetutamente i sistemi interessati, interrompendo le operazioni e potenzialmente causando perdita di dati.
Il lato positivo è che si tratta di un attacco locale, quindi un criminale informatico che tenta di manipolare il file di log di base (BLF) del CLFS avrebbe bisogno di accesso fisico al sistema; infatti puoi trovare i dettagli tecnici sulla prova di concetto (PoC) sul sito web di Fortra.
Altre falle analoghe
La falla è simile a CVE-2023-36424 LPE (elevazione di privilegi locali) che Microsoft ha affrontato l’anno scorso con gli aggiornamenti del Patch Tuesday di novembre 2023 (KB5032189 per Windows 10 e KB5032190 per Windows 11).
Questo rapporto sulla vulnerabilità di sicurezza arriva subito dopo un altro problema che abbiamo trattato la scorsa settimana, in cui un PC Windows completamente aggiornato può essere ingannato a effettuare un downgrade permanente.
Gli utenti Windows 11 e Windows 10, devono preoccuparsi?
Se si usano computer aziendali con prodotti CrowdStrike, in quel caso è bene prestare attenzione e seguire norme di “buon costume informatico” e precauzioni varie.
Gli utenti privati che, di norma, non fanno uso di questi programmi non devono temere assolutamente nulla.
