Министерство транспорта Российской Федерации
ФГУП «ЗащитаИнфоТранс»

ЦЕНТР КИБЕРБЕЗОПАСНОСТИ ФГУП «ЗАЩИТАИНФОТРАНС» СООБЩАЕТ

Недавно на сервис GitHub был выложен PoC-код, способный вызвать отказ операционных систем Microsoft Windows с появлением сообщения о критической системной ошибке даже на заблокированных компьютерах («синий экран смерти», англ. - Blue Screen of Death, Blue Screen of Doom,

BSoD). Написанный код содержит видоизмененный образ файловой системы NTFS, который можно загрузить на USB–флэш-накопитель. Если подключить его к компьютеру под управлением Windows, через несколько секунд система перестанет работать и появится «синий экран смерти».

В Windows функция автовоспроизведения активирована по умолчанию и в сочетании с уязвимостью в NTFS позволяет вызвать критическую системную ошибку. Использовать данную уязвимость можно даже с отключенной функцией автовоспроизведения, если файл на «флэшке» будет открыт (например, при сканировании USB-накопителя программой Windows Defender). Подобный результат можно получить в режиме пользователя, из-под учетной записи с ограниченными правами или аккаунта администратора.

При проверке использования этой уязвимости на 64-битных Windows 7 SP1 и Windows 10 (в сборках 15063 и 16215) во всех случаях показал положительный результат. На 64-битной Windows 10.0.16299 атаку воспроизвести не удалось. О данной проблеме компания Microsoft узнала еще в июле 2017 года, но производитель не посчитал ее уязвимостью в безопасности, что и привело к публикации кода. Компания Microsoft не классифицировала баг как уязвимость, поскольку для его эксплуатации требуется либо иметь физический доступ к атакуемой системе, либо использовать методы социальной инженерии. Однако по словам независимых экспертов физический доступ необязателен, так как злоумышленник может доставить PoC-код на атакуемый компьютер с помощью вредоносного ПО. Как отметили независимые эксперты, уязвимость в NTFS значительна, поскольку ее можно проэксплуатировать, даже если атакуемый компьютер заблокирован. 

Эксперты Центра кибербезопасности ФГУП «ЗащитаИнфоТранс» рекомендуют пользователям ОС Windows (в особенности версий, указанных в исследовании) не использовать сторонние USB-флэш-накопители и использовать антивирусное программное обеспечение во избежание попадания PoC-кода на компьютер через вредоносное ПО.