文章总结： 研究人员公开了WindowsCLFS驱动漏洞CVE-2026-2636的PoC代码，该漏洞允许任意低权限本地用户通过两次API调用触发不可恢复蓝屏，属于拒绝服务类型。问题源于CLFS驱动对IRP标志位校验不当。微软已在2025年9月更新中修复，但Windows1123H2及更早版本仍受影响，建议企业立即部署补丁、限制敏感系统本地登录权限并监测异常ReadFile调用行为。 综合评分： 87 文章分类： 漏洞分析,漏洞预警,终端安全,二进制安全,技术标准

【安全圈】Windows CLFS漏洞PoC公开：普通用户两次API调用即可触发不可恢复蓝屏

安全圈

2026年3月1日 19:01 美国

关键词

安全漏洞

安全研究人员公开发布了针对 Windows Common Log File System（CLFS）驱动漏洞 CVE-2026-2636 的PoC代码。该漏洞存在于Microsoft Windows的CLFS.sys驱动中，允许任意低权限本地用户在无需提权的情况下，瞬间触发不可恢复的蓝屏死机（BSoD），属于拒绝服务（DoS）类型漏洞，CVSS评分为5.5。

漏洞由Ricardo Narvaja（Fortra）在针对CLFS驱动的专项研究中发现。问题根源在于CLFS!CClfsRequest::ReadLogPagingIo函数对关键IRP标志位校验不当。当IRP_PAGING_IO和IRP_INPUT_OPERATION两个标志同时处于禁用状态时，驱动进入异常执行路径，最终直接调用内核函数nt!KeBugCheckEx，引发系统崩溃。

PoC利用过程极其简单，仅需两次API调用：首先使用CreateLogFile获取合法的.blp日志句柄，随后立即对该句柄调用ReadFile。由于ReadFile并非为此类日志句柄设计，CLFS驱动未能正确处理请求，直接导致内核级崩溃。整个攻击链从用户态KERNELBASE!ReadFile开始，经NtReadFile进入CLFS调度路径，最终触发系统BugCheck。无需构造恶意文件，也不涉及复杂堆喷或内存利用技术。

微软已在2025年9月发布的Windows 11 2024 LTSC和Windows Server 2025累积更新中悄然修复该问题，Windows 25H2版本亦已包含补丁。但Windows 11 23H2及更早版本仍处于未修补状态。值得注意的是，CLFS驱动近年来屡次出现漏洞，包括CVE-2022-37969、CVE-2023-28252、CVE-2024-6768以及被勒索软件利用的CVE-2025-29824，均集中在同一驱动子系统。

在多用户终端、企业工作站或自助设备环境中，该漏洞风险尤为突出。建议企业立即部署2025年9月或之后的累积更新，限制敏感系统的本地登录权限，并重点监测针对CLFS日志句柄的异常ReadFile调用行为。对于尚未升级的Windows 11 23H2及更早版本，应将其列为高优先级补丁修复对象。

END

阅读推荐

【安全圈】ClawJacked 漏洞曝光：网站可远程劫持 OpenClaw AI 代理，开发者需立即升级

【安全圈】“Vibe Coding”翻车：AI 社交网络 Moltbook 泄露 475 万条数据

【安全圈】恶意npm包“ambar-src”投毒Windows、Linux与macOS

【安全圈】不用浏览器也能中招：Windows资源管理器成隐秘后门

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】Windows CLFS漏洞PoC公开：普通用户两次API调用即可触发不可恢复蓝屏》