Un investigador de malware publicó un código de prueba de concepto que puede desencadenar la temida Pantalla Azul de la Muerte.
Un investigador de malware publicó un código de prueba de concepto que, cuando se coloca en una memoria USB, puede disparar la temida Pantalla Azul de la Muerte en varias versiones de Windows, incluso si el sistema está bloqueado.
Marius Tivadar de Bitdefender descubrió una vulnerabilidad en la forma en que Windows maneja las imágenes del sistema de archivos NTFS.
Al publicar el código de prueba de concepto en GitHub, explicó : "Se puede generar una pantalla azul de muerte utilizando una imagen NTFS hecha a mano. Este tipo de ataque de denegación de servicio puede realizarse desde el modo de usuario, la cuenta de usuario limitada o el administrador. Incluso puede bloquear el sistema si está en estado bloqueado ".
Como puede ver en los dos videos que publicó mostrando el exploit, después de que el código se coloca en una unidad USB y se inserta en una caja de Windows, ¡es wham bam! Segundos después de insertar la memoria USB, es BSOD si el sistema está bloqueado o no. El PoC no es un malware, sino una imagen NTFS mal formada.
Tivadar dijo que informó que emitió a Microsoft en julio de 2017, el gigante de Redmond, sin embargo, se negó a emitir un parche porque el problema requería "acceso físico o ingeniería social". En ese momento, el código podía disparar BSOD en Windows 7 en adelante.
En la documentación que lo acompaña, Tivadar dijo: "La reproducción automática se activa por defecto; esto lleva a que el sistema se cuelgue automáticamente (cuando) se inserta una memoria USB. Incluso con la función de reproducción automática desactivada, el sistema se bloqueará cuando se acceda al archivo ".
Agregó:" Esto se puede hacer cuando Windows Defender escanea la memoria USB o cualquier otra herramienta que la abre. Si ninguno de los anteriores, "luego", si el usuario hace clic en el archivo, (el) sistema se bloqueará ".
Él creía firmemente que el comportamiento de reproducción automática debería cambiarse para que no funcionara si el cuadro de Windows estaba bloqueado ya que el código se ejecuta sin el consentimiento del usuario.
"En general, no se debe cargar ningún controlador, no se debe ejecutar ningún código cuando el sistema está bloqueado y se insertan periféricos externos en la máquina".
Además, sugirió que un atacante podría modificar el PoC y agregar malware, lo que desencadenaría el bloqueo de forma remota y abriría "miles de escenarios posibles".
Aunque Microsoft le dijo a Tivadar que no asignaría un CVE ni emitiría una solución, en algún momento Microsoft arregló el problema. Sin embargo, no notificó a Tivadar.
Según los informes, ahora el PoC funciona en Windows 7 Enterprise 6.1.7601 SP1, Build 7601 x64, Windows 10 Pro 10.0.15063, Build 15063 x64 y Windows 10 Enterprise Evaluation Insider Preview 10.0.16215, Build 16215 x64. En caso de que tenga curiosidad, no funciona en la versión Windows 10 build 16299 recomendada por Microsoft.
El código está disponible ahora, así que si tienes un sistema vulnerable, entonces no te sorprendas si alguien que piensa que son graciosos lo prueba en tu máquina.
