A menos de un mes de la debacle de CrowdStrike, una nueva amenaza acecha a todos los ordenadores del mundo. Investigadores de seguridad descubrieron una vulnerabilidad en el sistema de archivos de registro común de Windows que podría causar la pantalla azul de la muerte. El fallo afecta a todos los ordenadores con Windows 10 y Windows 11, incluso aquellos que cuentan con todas las actualizaciones de seguridad.
De acuerdo con Neowin, expertos de la firma de ciberseguridad Fortra descubrieron una vulnerabilidad que generaría el temible pantallazo azul. El fallo se encuentra en el controlador del sistema de archivos de registro común de Windows (CLF.sys) y puede inducir a un bloqueo del sistema. Según los investigadores, un usuario sin privilegios podría desencadenar una pantalla azul inducida por denegación de servicio.
La vulnerabilidad fue descubierta el 19 de diciembre de 2023 y reportada a Microsoft. Los investigadores enviaron evidencia de que el fallo era reproducible con los parches de seguridad actualizados e incluyeron una captura del volcado de memoria. Pese a la evidencia, Microsoft indicó que sus ingenieros no pudieron replicar el fallo.
A quién afecta la nueva vulnerabilidad que causa pantallas azules en Windows
Fortra publicó la descripción de la vulnerabilidad CVE-2024-6768, conocida como Denegación de servicio en CLFS.sys:
"Una denegación de servicio en CLFS.sys en Microsoft Windows 10, Windows 11, Windows Server 2016, Windows Server 2019 y Windows Server 2022 permite a un usuario malintencionado autenticado con pocos privilegios causar una pantalla azul de la muerte a través de una llamada forzada a la función KeBugCheckEx."
A diferencia de CrowdStrike, que se desencadenó debido a una actualización fallida, la vulnerabilidad descubierta por Fortra afecta a todos los ordenadores. El error pone en riesgo los todos los PC con Windows 10 y Windows 11, así como Windows Server 2016 y Windows Server 2019.
De acuerdo con Ricardo Narvaja, autor del informe en Fortra, la vulnerabilidad en CLFS.sys abriría la puerta a una situación caótica, similar a lo que vimos en CrowdStrike.
"Una prueba de concepto (PoC) muestra que al crear valores específicos dentro de un archivo .BLF, un usuario sin privilegios puede inducir un bloqueo del sistema", mencionó. "Los problemas potenciales incluyen la inestabilidad del sistema y la denegación de servicio, ya que los usuarios malintencionados pueden explotar esta vulnerabilidad para bloquear repetidamente los sistemas afectados, interrumpiendo las operaciones y causando potencialmente la pérdida de datos."
¿Se viene un nuevo CrowdStrike?
Hasta ahora, Microsoft no se ha manifestado al respecto. Fortra menciona en su cronología que la compañía dejó de responderles en febrero, cuando no pudo replicar la vulnerabilidad internamente. Es probable que la debacle de CrowdStrike y sus posibles implicaciones financieras agilicen el trabajo para resolver este fallo de seguridad.
Microsoft declaró a finales de julio que el fallo de CrowdStrike debería tomarse como una llamada de atención. "Este incidente muestra claramente que Windows debe priorizar el cambio y la innovación en el área de la resiliencia de extremo a extremo", dijo John Cable, vicepresidente de administración de programas para el servicio y la entrega de Windows.
