一個代碼讓所有Windows全崩潰 原因是自動播放

安全專家 Marius Tivadar 在 GitHub 上公布了概念驗證代碼（PoC） ，它能崩潰所有版本的 Windows，即使 Windows 計算機處於鎖定狀態。代碼利用了微軟處理 NTFS 圖像的一個漏洞。他的 PoC 代碼包括了畸形 NTFS 圖像，可以放在 U 盤裡，然後插上電腦後系統就會在數秒內藍屏死機。

PoC地址：https://github.com/mtivadar/windows10_ntfs_crash_dos

大家對Windows藍屏已經習以為常，但隨著Windows更新越來越成熟，藍屏情況已經很少發生了。不過一位安全專家公布了概念驗證代碼PoC，能夠讓安裝所有Windows版本的設備崩潰，即使是鎖屏狀態下也不能倖免。

該 PoC 代碼利用的是微軟處理 NTFS 文件系統圖像過程中存在的一個漏洞，代碼中含有格式錯誤的 NTFS 圖像，用戶可提取這個圖像並將其放在 USB 中，然後將 USB 直接插入 Windows 計算機中就能導致系統在幾秒內崩潰，導致藍屏死機 (BSOD) 。

公布此PoC的的安全專家Tivadar 詳細說明該漏洞情況及其影響時指出，系統的自動播放可被默認激活。即使禁用自動播放功能，只要訪問文件還是會導致系統崩潰。例如，當 Windows Defender 掃描 USB，或其它工具打開 USB 時就會導致系統崩潰。

事實上這個漏洞是可以避免的，因為微軟在Windows中加入了自動播放機制，也就是說，即使是鎖屏狀態下，Windows也會查看U盤內的文件，而且Windows Defender也會自動掃描文件。在這個機制下，代碼就會運行，Windows也就藍屏了。

Tivadar 表示，微軟沒有必要在系統鎖定的情況下讀取U盤內容，應該改變這種做法。

2017年7月，Tivadar就與微軟聯繫並報告了這個漏洞，但微軟拒絕將該問題認定為安全漏洞，因此 Tivadar 才公布這個 PoC 代碼。微軟認為，需要物理訪問或者社工技術（誘騙用戶）才能利用這個漏洞，所以這個漏洞並不嚴重。但 Tivadar 認為並不一定需要物理訪問，因為攻擊者能夠使用惡意軟體遠程部署 PoC 代碼。但是，Tivadar 表示這個 NTFS 漏洞要比微軟想像的危險得多，因為當計算機被鎖定後漏洞還是會被利用。Tivadar 認為微軟應當更改這種配置，當系統鎖定時，或者外圍設備插入機器之後，操作系統不應該載入驅動也不應該執行代碼。

Tivadar 在個人 Google 照片帳戶中發布了兩個視頻，說明 NTFS 漏洞如何在計算機處於正常狀態或鎖定狀態下導致系統崩潰。他還在 Google 雲端硬碟帳戶上發布了另一個 PoC。可以預見，這兩段 PoC 將會很受歡迎，因為很多攻擊者都可能把這些 PoC 當做攻擊工具。

參考來源：bleepingcomputer，FreeBuf.COM。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！