Эксперт ИБ-компании Bitdefender Марьюс Тивадар (Marius Tivadar) выложил на GitHub PoC-код, способный вызвать отказ Windows и появление синего экрана смерти.

Чтобы вызвать BSoD, исследователь залил на флеш-накопитель искаженный образ файловой системы NTFS и подключил его через USB к компьютеру. Поскольку функция AutoPlay на Windows по умолчанию включена, искомый результат удалось получить за считаные секунды.

По словам Тивадара, в этом случае крэш системы произойдет даже при отключенном автозапуске — например, при сканировании флешки с помощью Windows Defender или иной попытке получения доступа к файлу. Подобный результат можно получить в режиме пользователя, из-под учетной записи с ограниченными правами или аккаунта администратора.

Свою концепцию исследователь проверил на 64-битных Windows 7 SP1 и Windows 10 (в сборках 15063 и 16215) и во всех случаях получил положительный результат. На 64-битной Windows 10.0.16299 атаку воспроизвести не удалось.

О своей находке Тивадар сообщил в Microsoft в июле прошлого года, однако вендор счел это программной ошибкой, не заслуживающей выпуска патча. В комментарии к записи эксперта на GitHub представитель Microsoft, поясняя позицию компании, пишет, что обнаруженный баг требует наличия физического доступа к системе либо применения социальной инженерии.

Тивадара не устроило такое оправдание: он уверен, что данную уязвимость можно использовать и удаленно — с помощью вредоносного ПО. К тому же его PoC работает даже на заблокированном ПК, чего вообще нельзя допускать, так как это опасно.

«Когда система заблокирована и к компьютеру подключаются внешние устройства, никакие драйверы в принципе не должны грузиться, а коды — выполняться», — цитирует Bleeping Computer слова автора находки.

В подтверждение своей правоты Тивадар опубликовал на Google Photos два видеоролика, демонстрирующих успешное использование NTFS-бага при открытом и заблокированном доступе к системе. В комментарии для Bleeping Computer исследователь отметил, что Microsoft, похоже, все-таки решила данную проблему в новейших выпусках Windows 10.

Категории: Аналитика, Кибероборона, Уязвимости