Código PoC publicado para activar un BSOD instantáneo en todas las versiones recientes de Windows
Un experto en hardware rumano ha publicado un código de prueba de concepto en GitHub que bloqueará la mayoría de los ordenadores Windows en cuestión de segundos, incluso si el ordenador está bloqueada.
El código explota una vulnerabilidad en el manejo por parte de Microsoft de las imágenes del sistema de archivos NTFS y fue descubierto por Marius Tivadar, un investigador de seguridad de Bitdefender.
Error NTFS y la función de reproducción automática de Windows no van bien juntos
El PoC del experto contiene una imagen NTFS mal formada que los usuarios pueden tomar y colocar en una memoria USB. La inserción de esta unidad USB en una ordenador con Windows bloquea el sistema en cuestión de segundos, lo que da como resultado una pantalla azul de defunción (BSOD).
"La reproducción automática se activa por defecto", escribió Tivadar en un documento PDF que detalla el error y su impacto.
"Incluso con la función de reproducción automática desactivada, el sistema se bloqueará cuando se acceda al archivo. Esto puede suceder cuando Windows Defender escanea la memoria USB o cualquier otra herramienta lo abre".
Microsoft no quiso corregirlo
Tivadar contactó a Microsoft sobre el problema en julio de 2017, pero publicó el código PoC hoy después de que el fabricante del sistema operativo no quiso clasificar el problema como un error de seguridad.
Microsoft redujo la severidad del error porque explotarlo requiere acceso físico o ingeniería social (engañar al usuario).
El investigador no está de acuerdo con la decisión de Microsoft. Primero argumenta que el acceso físico no es necesariamente necesario, ya que un atacante podría implementar PoC desde lejos usando malware.
NTFS bug también bloquea PC bloqueadas
Tivadar también explicó que el error NTFS era más peligroso de lo que piensa Microsoft porque también funciona mientras la PC está bloqueada, un estado en el que el investigador argumenta que el sistema operativo no debería leer datos de unidades USB aleatorias que se insertaron en sus puertos.
"Creo firmemente que este comportamiento debe cambiarse, y no debe montarse ningún dispositivo USB/volumen cuando el sistema esté bloqueado", dijo el investigador. "En general, no se debe cargar ningún controlador, no se debe ejecutar ningún código cuando el sistema está bloqueado y se insertan periféricos externos en la máquina".
Tivadar publicó dos videos en su cuenta personal de Google Fotos que muestran el error NTFS bloqueando una PC en estados normales y bloqueados. Otro PoC también está disponible en su cuenta de Google Drive.
Por ahora, PoC de Tivadar se convertirá en uno de los mejores códigos en GitHub, ya que cualquier bromista buscará agregarlo a su arsenal.