Ein rumänischer Hardwareexperte hat einen Proof-of-Concept-Code auf GitHub veröffentlicht , der die meisten Windows-Computer innerhalb von Sekunden zum Absturz bringt – auch dann, wenn sich der Computer in einem gesperrten Zustand befindet. Der Code nutzt nach den bisher vorliegenden Angaben eine Schwachstelle in Microsofts Umgang mit NTFS-Dateisystem-Images aus und wurde von Marius Tivadar, einem Sicherheitsforscher von Bitdefender, entdeckt.
Das Proof-of-Concept enthält ein fehlerhaftes NTFS-Image, das Benutzer auf einem USB-Stick speichern können. Wenn man diesen USB-Stick in einen Windows-Computer einsteckt, stürzt das System innerhalb von wenigen Sekunden ab, das Resultat ist der berühmt-berüchtigte Bluescreen of Death (BSOD).
“Die automatische Wiedergabe ist standardmäßig aktiviert”, schrieb Tivadar in einem PDF-Dokument, in dem der Fehler und seine Auswirkungen beschrieben wurden.
Das Resultat lässt sich auch dann reproduzieren, wenn der automatische Zugriff auf den USB-Stick deaktiviert ist und der Nutzer manuell auf den Datenträger zugreift – z.B. während einer Überprüfung des Sticks auf Viren durch den Windows Defender.
Tivadar will Microsoft bereits im Juli 2017 kontaktiert haben, doch die Redmonder sahen in dem geschilderten Problem keinen Handlungsbedarf. Microsoft habe den Schweregrad des Fehlers als gering eingeschätzt, da man für zum Ausnutzen entweder einen physischer Zugriff auf den Rechner benötige oder den Nutzer via “Social Engineering” dazu bringen müsse, den USB-Stick einzustecken. Nach Ansicht des Experten könne der Code jedoch auch über eine Malware auf das System gelangen und dann beliebig erweitert werden.
Der NTFS-Fehler sei besonders gefährlich, weil er auch bei einem gesperrten PC funktioniere. In einem solchen Fall solle das Betriebssystem eigentlich nicht auf einen Datenträger zugreifen. Tivadar veröffentlichte zwei Videos, in denen der NTFS-Fehler beim Absturz eines PCs in normalen und gesperrten Zuständen angezeigt wird.
Zum jetzigen Zeitpunkt soll der PoC noch auf Windows 7 Enterprise 6.1.7601 SP1, Build 7601 x64, Windows 10 Pro 10.0.15063, Build 15063 x64 und Windows 10 Enterprise Evaluation Insider Preview 10.0.16215, Build 16215 x64 funktionieren. Auf dem aktuellen Windows 10 build 16299 funktioniert er angeblich nicht mehr.
via csoonline.com