【安全圈】Windows CLFS漏洞PoC公开：普通用户两次API调用即可触发不可恢复蓝屏|poc|windows|蓝屏|调用

关键词

安全漏洞

安全研究人员公开发布了针对 Windows Common Log File System（CLFS）驱动漏洞CVE-2026-2636的PoC代码。该漏洞存在于Microsoft Windows的CLFS.sys驱动中，允许任意低权限本地用户在无需提权的情况下，瞬间触发不可恢复的蓝屏死机（BSoD），属于拒绝服务（DoS）类型漏洞，CVSS评分为5.5。

漏洞由Ricardo Narvaja（Fortra）在针对CLFS驱动的专项研究中发现。问题根源在于CLFS!CClfsRequest::ReadLogPagingIo函数对关键IRP标志位校验不当。当IRP_PAGING_IO和IRP_INPUT_OPERATION两个标志同时处于禁用状态时，驱动进入异常执行路径，最终直接调用内核函数nt!KeBugCheckEx，引发系统崩溃。

PoC利用过程极其简单，仅需两次API调用：首先使用CreateLogFile获取合法的.blp日志句柄，随后立即对该句柄调用ReadFile。由于ReadFile并非为此类日志句柄设计，CLFS驱动未能正确处理请求，直接导致内核级崩溃。整个攻击链从用户态KERNELBASE!ReadFile开始，经NtReadFile进入CLFS调度路径，最终触发系统BugCheck。无需构造恶意文件，也不涉及复杂堆喷或内存利用技术。

微软已在2025年9月发布的Windows 11 2024 LTSC和Windows Server 2025累积更新中悄然修复该问题，Windows 25H2版本亦已包含补丁。但Windows 11 23H2及更早版本仍处于未修补状态。值得注意的是，CLFS驱动近年来屡次出现漏洞，包括CVE-2022-37969、CVE-2023-28252、CVE-2024-6768以及被勒索软件利用的CVE-2025-29824，均集中在同一驱动子系统。

在多用户终端、企业工作站或自助设备环境中，该漏洞风险尤为突出。建议企业立即部署2025年9月或之后的累积更新，限制敏感系统的本地登录权限，并重点监测针对CLFS日志句柄的异常ReadFile调用行为。对于尚未升级的Windows 11 23H2及更早版本，应将其列为高优先级补丁修复对象。