微軟拒絕修復藍屏死機漏洞 硬件專家公布 PoC 利用碼
責編:gltian |2018-04-28 11:36:11一名羅馬尼亞硬件專家在 GitHub 上發布了能在幾秒內導致多數 Windows 計算機崩潰的 PoC 代碼,即使計算機被鎖也不例外。
該 PoC 代碼利用的是微軟處理 NTFS 文件系統圖像過程中存在的一個漏洞,它由 Bitdefender 公司的研究員 Marius Tivadar 發現。
NTFS 漏洞和Windows autoplay功能不兼容
PoC 中含有格式不正確的 NTFS 圖像,用戶可提取這個圖像并將其放在 USB 中。將 USB 插入 Windows 計算機中就能導致系統在數秒內崩潰,導致藍屏死機 (BSOD) 現象。
Tivadar 詳細說明該漏洞情況及其影響時指出,autoplay 被默認激活。即使它被禁用,當文件被訪問時,系統也會崩潰。例如,當 Windows Defender 掃描 USB 或其它工具打開 USB 時就會導致系統崩潰。
微軟拒絕修復
2017年7月,Tivadar 向微軟說明該問題,不過直到微軟拒絕將該問題認定為安全漏洞之后的今天,這個 PoC 利用碼才發布。
微軟給出的理由是利用這個問題要求物理訪問或者社工技術(誘騙用戶)。但Tivadar 認為并不一定需要物理訪問,因為攻擊者能夠通過使用惡意軟件的方式部署 PoC 利用碼。
被鎖計算機也會出現崩潰情況
Tivadar 還解釋稱,這個 NTFS 漏洞要比微軟想象的危險得多,因為當計算機被鎖定后它還會起作用。Tivadar 認為當計算機被鎖定時,操作系統不應該從插入端口的隨機 USB 中讀取數據。
Tivadar 堅定地認為這種行為應該得到改變,而且當系統鎖定時,USB不應被掛載。一般而言就是在鎖定系統或者外圍設備插入機器后,不應加載驅動、不應執行代碼。
Tivadar 在個人的 Google Photos 賬戶中發布了兩個視頻,說明了 NTFS 漏洞如何在正常狀態和被鎖定狀態導致計算機崩潰。他還在 Google Drive 賬戶上發布了另外一個 PoC 利用碼。
Tivadar 發布的 PoC 利用碼將變成 GitHub上最熱門的代碼,因為很多惡意人員將會將它增加到自己的武器庫中。
POC代碼:https://github.com/mtivadar/windows10_ntfs_crash_dos