Опубликован PoC-код, вызывающий синий экран смерти на Windows-ПК

Специализирующийся на аппаратном обеспечении исследователь компании Bitdefender Мариус Тивадар (Marius Tivadar) опубликовал на GitHub PoC-код, способный в считанные секунды вывести из строя большинство Windows-ПК, даже если они заблокированы.

Написанный Тивадаром PoC-код содержит видоизмененный образ файловой системы NTFS, который можно загрузить на USB-флэш-накопитель. Если подключить его к компьютеру под управлением Windows, через несколько секунд система перестанет работать и появится синий экран смерти.

Как пояснил исследователь, в Windows функция автовоспроизведения активирована по умолчанию и в сочетании с уязвимостью в NTFS позволяет вызвать критическую системную ошибку. Проэксплуатировать уязвимость можно даже с отключенной функцией автовоспроизведения, если файл на «флэшке» будет открыт (например, при сканировании USB-накопителя программой Windows Defender).

Тивадар сообщил Microsoft об обнаруженной им проблеме в июле 2017 года. Производитель не посчитал ее уязвимостью в безопасности, поэтому исследователь решил публиковать PoC-код. Microsoft не классифицировала баг как уязвимость, поскольку для его эксплуатации требуется либо иметь физический доступ к атакуемой системе, либо использовать методы социальной инженерии. Однако Тивадар не согласен с Microsoft. По его словам, физический доступ необязателен, так как злоумышленник может доставить PoC-код на атакуемый компьютер с помощью вредоносного ПО.

Как пояснил исследователь, уязвимость в NTFS опаснее, чем считает производитель, поскольку ее можно проэксплуатировать, даже если атакуемый компьютер заблокирован. По мнению Тивадара, ОС не должна считывать данные с подключенных к портам произвольных USB-накопителей, когда компьютер заблокирован.