Un código PoC hace saltar la BSOD al instante en Windows 10 desde un disco USB

Un código PoC hace saltar la BSOD al instante en Windows 10 desde un disco USB
Vota este post

Siempre se dice que antes de usar un disco duro USB es necesario revisarlo convenientemente para evitar problemas de malware que podrían causarte graves problemas posteriormente. Ahora un investigador de seguridad rumano de Bitdefender llamado Marius Tivadar, ha puesto de manifiesto lo anterior con un simple código de prueba de concepto (PoC).

Es suficiente con insertar una memoria USB con este código malicioso para que automáticamente tu sistema operativo Windows muestre una temida pantalla azul de la muerte, también conocida por las siglas (en inglés) BSOD en cualquiera de los sistemas operativos Windows de Microsoft más recientes. El fallo explotado en esta ocasión está relacionado con cómo Windows maneja las imágenes NTFS.

En la página de GitHub del proyecto, Tivadar describe que cualquiera puede generar la BSOD utilizando una imagen del sistema de archivos NTFS mal formada. Ademas, este código puede actuar incluso con el ordenador bloqueado, ya que Windows tiene activada la reproducción activada por defecto cuando el sistema operativo está en este estado. Incluso con la reproducción automática desactivada el código podría activarse cuando un antivirus como Windows Defender escanease la unidad USB.

¿A qué versiones de Windows afecta?

Las versiones de Windows afectadas son:

  • Windows 7 Enterprise 6.1.7601 SP1, Build 7601 x64
  • Windows 10 Pro 10.0.15063, Build 15063 x64
  • Windows 10 Enterprise Evaluation Insider Preview 10.0.16215, Build 16215 x64

Pero el exploit no está limitado solamente a ellas.

Así funciona

En la documentación de GitHub también se describe el método de creación de la imagen NTFS. Tras el arranque se activa la reproducción automática y acto seguido el sistema se bloquea.

Dado que la reproducción automática funciona incluso cuando el sistema está bloqueado, el ataque también es capaz de funcionar en esos casos. Tivadar cree que este tipo de comportamiento debería ser modificado.

El problema ya fue notificado a Microsoft

Tivadar ya notificó el problema a Microsoft, pero la compañía con sede en Redmond no lo clasificó como un problema de seguridad ni informó de que la incidencia y su posterior parcheo a los usuarios. Eso sí, en la última Build 16299 de Windows 10 este código PoC ya no funciona, por lo que ha sido corregido silenciosamente.

Para Microsoft, la inserción de un USB con este código requiere de una intervención física o del uso de ingeniería social, por lo que consideró remota la posibilidad de que se pueda propagar de forma masiva. Tivadar discrepa con la postura de Microsoft argumentando que un hacker podría implementarlo a través de otro malware remotamente.

Puedes ver el código en funcionamiento a través de estos dos vídeos publicados por Tivadar en su cuenta de Google Fotos.

Fuente | Foosbytes

Dejar un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.