La chiavetta USB dannosa potrebbe attivare BSOD su PC Windows bloccato

Il codice falso su USB attiva BSOD su PC Windows anche se è bloccato

Marius Tivadar, un ricercatore di malware presso BitDefender, un’azienda di software antivirus e di sicurezza informatica, ha pubblicato su GitHub un codice PoC (proof-of-concept) che può causare il temuto Blue Screen of Death (BSOD) e mandare in crash le macchine Windows. se il sistema è bloccato.

Secondo Tivadar, il codice sfrutta la vulnerabilità nella gestione da parte di Microsoft delle immagini NTFS (New Technology File System) che può attivare una schermata blu della morte.

Spiegazione del codice PoC su GitHub, Tivadar detto, “Uno schermo blu della morte può essere generato utilizzando un’immagine NTFS realizzata a mano. Questo tipo di attacco Denial of Service può essere eseguito dalla modalità utente, dall’account utente limitato o dall’amministratore. Puoi persino bloccare il sistema se è bloccato. “

Il PoC del ricercatore di malware conteneva un’immagine NTFS non valida, che è stata archiviata su una chiavetta USB, che una volta inserita in un PC Windows avrebbe causato l’arresto anomalo del sistema in pochi secondi.

“La riproduzione automatica è attiva per impostazione predefinita”, ha scritto Tivadar in un PDF che accompagna il progetto POC GitHub dettagliare l’errore e il suo effetto.

“Anche con la riproduzione automatica [is] Disabilitato, [the] il sistema andrà in crash quando si accede al file. Questo può essere fatto da [example,] quando Windows Defender esegue la scansione della chiavetta USB o di qualsiasi altro strumento che la apre. “

La riproduzione automatica, abilitata per impostazione predefinita in tutte le versioni di Windows, è la radice del problema qui. La disattivazione della riproduzione automatica può impedire il blocco automatico dell’immagine NTFS sui sistemi Windows, ma l’apertura manuale ha lo stesso risultato.

Secondo Tivadar, il comportamento di riproduzione automatica dovrebbe essere ampiamente modificato in modo che non funzioni se la finestra di Windows è bloccata poiché il codice viene eseguito senza il consenso dell’utente.

leggere  Opera GX, il primo browser di gioco al mondo, vince il Red Dot Award

“In linea di massima nessun driver deve essere caricato, nessun codice deve essere eseguito quando il sistema è bloccato e le periferiche esterne sono inserite nella macchina. posso pensare [of] questo come codice [that] funziona senza il consenso dell’utente “, ha affermato.

Ha inoltre suggerito che un utente malintenzionato potrebbe apportare modifiche al PoC e aggiungere malware, attivando il blocco in remoto e aprendo “migliaia di possibili scenari”.

Tivadar aveva segnalato l’attacco DoS (denial of service) a Microsoft nel luglio 2017 e includeva la falsa immagine NTFS da 10 MB che poteva mandare in crash i sistemi Windows 7 e Windows 10 insieme a un Video PoC.

Microsoft aveva risposto al PoC di Tivadar dicendo: “Il tuo rapporto richiede l’accesso fisico o l’ingegneria sociale e come tale non soddisfa lo standard per il servizio di livello inferiore (rilascia una patch di sicurezza).”

Secondo Tivadar, quando è stata rivelata la vulnerabilità, Microsoft ha dichiarato di non volerle assegnare un CVE. Tuttavia, ha scritto: “Il tuo tentativo di rivelare responsabilmente un potenziale problema di sicurezza è apprezzato e speriamo che continui a farlo”.

Deluso dalla risposta di Microsoft, Tivadar ha recentemente pubblicato la sua immagine NTFS su GitHub. Tuttavia, si dice che Microsoft abbia rilasciato una correzione per la vulnerabilità di Windows 10.

Fonte: Il computer squilla

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *