Schermata blu in agguato, ma Microsoft non riesce a riprodurre il problema

Non è trascorso neppure un mese da quando la comparsa di un’agghiacciante schermata blu ha accolto un numero incalcolabile di utenti business facenti affidamento sulle soluzioni di sicurezza CrowdStrike. Gli esperti della società di sicurezza Fortra spiegano che tra le “pieghe” di Windows c’è un bug che può provocare un errore BSoD (Blue Screen of Death).

Il problema è rilevante perché interessa tutte le versioni del sistema operativo supportate da Microsoft (ad esempio Windows 10, Windows 11, Windows Server 2016, Windows Server 2019 e Windows Server 2022) e non è stato ancora risolto da Microsoft, sebbene la questione sia stata segnalata privatamente già a dicembre 2023.

Da cosa può essere provocata la schermata blu: CVE-2024-6768

I ricercatori di Fortra osservano che il driver di sistema CLFS (Common Log File System), una componente critica del sistema operativo responsabile della gestione dei file di log (file CLFS.sys), soffre di una vulnerabilità che si manifesta con l’errore BSoD in caso di una convalida impropria dei dati ricevuti input. In particolare, sarebbe la funzione KeBugCheckEx principale responsabile del comportamento anomalo.

Ovviamente, fintanto che a CLFS non sono passati valori problematici in ingresso, tutto andrà per il verso giusto. Ma Fortra aggiunge che utenti malintenzionati possono di fatto approfittare della vulnerabilità per “far crollare” qualunque sistema Windows. Si pensi ad esempio a una macchina Windows Server che eroga servizi e che deve restare sempre raggiungibile: lo sfruttamento del bug di sicurezza si trasforma in un attacco DoS (Denial of Service).

Vettore locale ma il problema è comunque rilevante

Anche se il vettore di attacco è locale e non remoto, il rischio associato alla falla classificata come CVE-2024-6768 è indicato come “medio”. Questo perché la vulnerabilità potrebbe essere sfruttata senza la necessità di ricorrere a particolari privilegi: bastano i diritti utente più bassi per provocare la comparsa della schermata blu.

In un altro articolo abbiamo visto che Windows prevede addirittura la possibilità di generare una schermata blu a fini diagnostici: ovviamente, però, sono necessari i privilegi amministrativi per procedere.

Secondo Ricardo Narvaja, principale autore della ricerca Fortra, gli attaccanti possono mandare ripetutamente in crash i sistemi, creando disagi significativi, specialmente in ambienti multi-utente. Inoltre, il problema di sicurezza segnalato a Microsoft potrebbe essere utilizzato in una catena di aggressioni che combina più lacune di sicurezza (magari qualcuna attivabile in modalità remota, specie sui sistemi non aggiornati con le varie patch di sicurezza).

Tempistica della scoperta e risposta di Microsoft

La vulnerabilità CVE-2024-6768 è stata riportata a Microsoft per la prima volta nel dicembre 2023, con un exploit proof-of-concept che dimostrava il problema. I tecnici Microsoft hanno risposto per due volte di non riuscire a riprodurre il problema, nonostante Fortra garantisca di averlo verificato su decine di macchine Windows fisiche e virtuali.

Fortra ha quindi deciso di rendere pubblica la sua scoperta a metà agosto 2024, nella speranza di stimolare finalmente un’azione correttiva da parte di Microsoft.

Conseguenze per le aziende

Sebbene la vulnerabilità CVE-2024-6768 possa sembrare di impatto limitato per l’utente medio, le imprese dovrebbero prestare particolare attenzione.

Come accennato in precedenza, un utente con privilegi limitati sfruttare questa falla per causare danni significativi, come il riavvio forzato di un server multi-utente senza lasciare tracce evidenti. Le implicazioni potrebbero essere critiche nei contesti aziendali, dove la continuità operativa è cruciale.