微軟拒絕修復藍屏死機漏洞 硬體專家公布 PoC 利用碼

來自專欄安全客4 人贊了文章

一名羅馬尼亞硬體專家在 GitHub 上發布了能在幾秒內導致多數 Windows 計算機崩潰的 PoC 代碼，即使計算機被鎖也不例外。

該 PoC 代碼利用的是微軟處理 NTFS 文件系統圖像過程中存在的一個漏洞，它由 Bitdefender 公司的研究員 Marius Tivadar 發現。

NTFS 漏洞和Windows autoplay功能不兼容

PoC 中含有格式不正確的 NTFS 圖像，用戶可提取這個圖像並將其放在 USB 中。將 USB 插入 Windows 計算機中就能導致系統在數秒內崩潰，導致藍屏死機 (BSOD) 現象。

Tivadar 詳細說明該漏洞情況及其影響時指出，autoplay 被默認激活。即使它被禁用，當文件被訪問時，系統也會崩潰。例如，當 Windows Defender 掃描 USB 或其它工具打開 USB 時就會導致系統崩潰。

微軟拒絕修復

2017年7月，Tivadar 向微軟說明該問題，不過直到微軟拒絕將該問題認定為安全漏洞之後的今天，這個 PoC 利用碼才發布。

微軟給出的理由是利用這個問題要求物理訪問或者社工技術（誘騙用戶）。但Tivadar 認為並不一定需要物理訪問，因為攻擊者能夠通過使用惡意軟體的方式部署 PoC 利用碼。

被鎖計算機也會出現崩潰情況

Tivadar 還解釋稱，這個 NTFS 漏洞要比微軟想像的危險得多，因為當計算機被鎖定後它還會起作用。Tivadar 認為當計算機被鎖定時，操作系統不應該從插入埠的隨機 USB 中讀取數據。

Tivadar 堅定地認為這種行為應該得到改變，而且當系統鎖定時，USB不應被掛載。一般而言就是在鎖定系統或者外圍設備插入機器後，不應載入驅動、不應執行代碼。

Tivadar 在個人的 Google Photos 賬戶中發布了兩個視頻，說明了 NTFS 漏洞如何在正常狀態和被鎖定狀態導致計算機崩潰。他還在 Google Drive 賬戶上發布了另外一個 PoC 利用碼。

Tivadar 發布的 PoC 利用碼將變成 GitHub上最熱門的代碼，因為很多惡意人員將會將它增加到自己的武器庫中。

POC代碼：https://github.com/mtivadar/windows10_ntfs_crash_dos

登錄安全客 - 有思想的安全新媒體http://www.anquanke.com/，或下載安全客APP來獲取更多最新資訊吧~

推薦閱讀：