www.bleepingcomputer.com

 Bleepingcomputerによると、セキュリティ会社であるBitdefenderの Marius TivadarがWindowsをクラッシュさせてブルースクリーンにする脆弱性を発見したようです。しかも、GithubにPoC（Proof of Consept)もTivadar氏により公開済みです。

本脆弱性について

Tivadar氏が発見した脆弱性は、NTFSと呼ばれるファイルシステムの処理方法による問題のようです。Windowsでは、USBを指すとUSB内のNTFSイメージが自動で読み込まれてしまいます。これを悪用し、悪意のあるNTFSイメージを作成してUSBに保存します。その後、標的のPCにUSBを刺すとクラッシュさせることが出来ます。

Windowsでは、画面ロック（ログイン前）状態でも自動でUSB内のNTFSイメージを読み込むためクラッシュさせることが出来るようです。また、Tivadar氏によると、USBを刺さずともマルウェア等で相手のPCに悪意のあるNTFSイメージを仕込むとウイルス対策ソフト等でスキャンした時にクラッシュさせることもできるようです。 

いちよ、デモ動画を載せておきますね。

www.youtube.com

対象となるバージョン

対象となるバージョンに関する情報を記載しますが、Githubに記載されているTivadar氏が実験した製品のみとなります。

そのため、この他のバージョンも対象になる可能性はあります。

1. Windows 7 Enterprise 6.1.7601 SP1, Build 7601 x64
2. Windows 10 Pro 10.0.15063, Build 15063 x64
3. Windows 10 Enterprise Evaluation Insider Preview 10.0.16215, Build 16215 x64

対策

対策は現状のところありません。強いて言えば、不審なUSBを使わないこととかでしょうか？

Tivadar氏は、2017年の7月にマイクロソフトにこの脆弱性を報告したようですが修正を拒否されたようです。そのため、修正パッチ等は出ておらず放置されたままです。（2018年4月27日時点）

Tivadar氏がこの脆弱性の詳細とPoCを公開したのはこのこともあってだと思われます。

まとめ

 筆者自身の意見としては、この脆弱性をマイクロソフトが修正しなかったのもなんとなく分かるなと思いました。攻撃を成功させる条件が厳しく、影響を受けるとしてもブルースクリーン程度です。

もし、マルウェア等で悪意のあるNTFSイメージを標的PCに仕込んで、起動時に毎回読み込ませてPCを使わせないことが出来れば修正されるべき脆弱性と言っても良いかもしれません。または、クラッシュさせるだけでなく任意の操作をさせることが出来れば間違いなく修正されるべきでしょう。

最後までお読みいただき、ありがとうございました。

GW中は帰省中のため書けるときに書くことになるかと思います。

それでも、2日に1回以上は更新したいと思います。

参考

GitHub - mtivadar/windows10_ntfs_crash_dos: PoC for a NTFS crash that I discovered, in various Windows versions

windows10_ntfs_crash_dos/ntfs_crash.pdf at master · mtivadar/windows10_ntfs_crash_dos · GitHub