{"id":514,"date":"2018-04-30T10:41:04","date_gmt":"2018-04-30T15:41:04","guid":{"rendered":"http:\/\/si.uniblog.uo.edu.cu\/?p=514"},"modified":"2020-10-09T18:59:52","modified_gmt":"2020-10-10T00:59:52","slug":"514","status":"publish","type":"post","link":"https:\/\/blogs.uo.edu.cu\/seginf\/?p=514","title":{"rendered":"USB-stick-of-death, o dejar K.O. a Windows insertando una memoria USB"},"content":{"rendered":"<p style=\"text-align: justify\"><a title=\"\" href=\"http:\/\/blogs.uo.edu.cu\/seginf\/wp-content\/uploads\/sites\/4\/2018\/05\/win-1.jpg\"><img loading=\"lazy\" decoding=\"async\" class=\"alignleft wp-image-518 size-full\" style=\"margin-left: 5px;margin-right: 5px\" src=\"http:\/\/si.uniblog.uo.edu.cu\/files\/2018\/04\/win.jpg\" alt=\"win\" width=\"160\" height=\"145\" \/><\/a><span style=\"font-family: arial,helvetica,sans-serif\"><span style=\"font-size: large\">Un fallo en el manejador del sistema de ficheros NTFS puede ser aprovechado por un atacante para provocar la famosa \u00abpantalla azul de la muerte\u00bb en sistemas de escritorio Windows, ya sea a trav\u00e9s\u00a0del acceso f\u00edsico al sistema o consiguiendo la inserci\u00f3n usando ingenier\u00eda social.<\/span><\/span><\/p>\n<p>&nbsp;<\/p>\n<p><!--more--><\/p>\n<p><a title=\"\" href=\"http:\/\/blogs.uo.edu.cu\/seginf\/wp-content\/uploads\/sites\/4\/2018\/05\/blue_screen.jpg\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-515 size-full\" src=\"http:\/\/si.uniblog.uo.edu.cu\/files\/2018\/04\/blue_screen.jpg\" alt=\"blue_screen\" width=\"640\" height=\"400\" \/><\/a>El investigador\u00a0<span style=\"font-family: arimo,arial,freesans,helvetica,sans-serif\">Marius Tivadar, de Bitdefender, ha publicado una prueba de concepto de una t\u00e9cnica que provoca la aparici\u00f3n de la \u00abpantalla azul de la muerte\u00bb (en resumidas cuentas, Denegaci\u00f3n de Servicio) en sistemas de escritorio Windows.<\/span><\/p>\n<p><span style=\"font-family: arimo,arial,freesans,helvetica,sans-serif\">Tivadar aprovecha un fallo al cargar sistemas de ficheros NTFS. Mediante el cambio de nombre de directorio ra\u00edz\u00a0y la variable &#8216;<\/span><em>INDEX_ALLOCATION&#8217;\u00a0<\/em>en varias localizaciones de una imagen NTFS provoca\u00a0<strong>la creaci\u00f3n de una estructura\u00a0FCB (&#8216;<em>File Control Block<\/em>&#8216;) que contiene un puntero nulo. \u00c9ste, al ser accedido por la funci\u00f3n &#8216;<\/strong><em><span style=\"font-family: helvetica neue,arial,helvetica,sans-serif\"><strong>NtfsFindExistingLcb()&#8217;,<\/strong><\/span><\/em><strong>\u00a0produce una excepci\u00f3n<\/strong>.<\/p>\n<p>El fallo ha sido probado en sistemas Windows 7 Enterprise y 10 en sus versiones\u00a0Enterprise y Pro, y\u00a0<strong>puede ser explotado por cualquier atacante con acceso f\u00edsico a la m\u00e1quina sin importar el nivel de cuenta del usuario ejecutando el sistema operativo<\/strong>.<\/p>\n<p style=\"text-align: justify\">Adem\u00e1s, al estar activada la funci\u00f3n Auto-play por defecto,\u00a0<strong>el sistema es afectado autom\u00e1ticamente al insertar el l\u00e1piz de memoria<\/strong>.\u00a0En caso de estar desactivado Auto-play, el sistema quedar\u00e1 bloqueado en el primer acceso a la imagen NTFS modificada, por ejemplo al analizar la memoria con Windows Defender.<\/p>\n<p style=\"text-align: justify\"><strong>La t\u00e9cnica funciona tambi\u00e9n\u00a0cuando el sistema se encuentra en modo Bloqueo<\/strong>, por lo que un atacante puede aprovechar un momento de despiste para insertar el l\u00e1piz\u00a0de memoria sin ser visto.<\/p>\n<p style=\"text-align: justify\">Tivadar expresa su preocupaci\u00f3n por este ultimo comportamiento en la documentaci\u00f3n de la prueba de concepto:<\/p>\n<p style=\"margin-left: 40px;text-align: justify\"><span style=\"font-family: helvetica neue,arial,helvetica,sans-serif\">Creo firmemente que este comportamiento deber\u00eda cambiarse, dado que ning\u00fan l\u00e1piz USB o volumen debe montarse cuando el sistema est\u00e1 bloqueado. (&#8230;) Pienso en esto como c\u00f3digo que se ejecuta sin el consentimiento del usuario. Si este tipo de ataque fuera explotable, y un atacante pudiera cargar malware incluso si un sistema est\u00e1 bloqueado, se podr\u00edan abrir miles de m\u00faltiples escenarios.\u00a0<\/span><\/p>\n<div id=\"breadcrumbs\">\n<p style=\"text-align: justify\">Cabe decir que esta vulnerabilidad fue descubierta en julio del 2017, pero los intentos del investigador para realizar una\u00a0revelaci\u00f3n responsable han sido infructuosos, ya que desde Microsoft han argumentado que\u00a0<strong>el requisito de acceso f\u00edsico o ingenier\u00eda social hace que la vulnerabilidad no sea considerada para lanzar un parche de seguridad<\/strong>.\u00a0Sin embargo, el descubridor expresa sus dudas, ya que una imagen manipulada, descargada por un malware, podr\u00eda disparar el fallo.<\/p>\n<p style=\"text-align: justify\">La prueba de concepto se ha publicado en\u00a0Github\u00a0junto con su documentaci\u00f3n y varios v\u00eddeos demostrativos en la cuenta de\u00a0Google Fotos\u00a0de\u00a0Tivadar.<\/p>\n<p style=\"text-align: justify\">Fuente: Segurm\u00e1tica. http:\/\/www.segurmatica.cu\/usb-stick-death-o-dejar-ko-windows-insertando-una-memoria-usb<\/p>\n<\/div>\n<h3>Im\u00e1genes Relacionadas:<\/h3>","protected":false},"excerpt":{"rendered":"<p>Un fallo en el manejador del sistema de ficheros NTFS puede ser aprovechado por un atacante para provocar la famosa \u00abpantalla azul de la muerte\u00bb en sistemas de escritorio Windows, ya sea a trav\u00e9s\u00a0del acceso f\u00edsico al sistema o consiguiendo &hellip; <a href=\"https:\/\/blogs.uo.edu.cu\/seginf\/?p=514\">Sigue leyendo <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"ngg_post_thumbnail":0,"footnotes":""},"categories":[2,6,13,14,15,19,21,24,9,26,28],"tags":[],"class_list":["post-514","post","type-post","status-publish","format-standard","hentry","category-amenazas","category-codigos-malignos","category-hackers","category-incidentes","category-informaciones","category-percepcion-de-riesgo","category-piratas-informaticos","category-prevencion","category-salvas-info","category-salvas","category-seguridad-informatica"],"_links":{"self":[{"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/posts\/514","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=514"}],"version-history":[{"count":2,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/posts\/514\/revisions"}],"predecessor-version":[{"id":630,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/posts\/514\/revisions\/630"}],"wp:attachment":[{"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=514"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=514"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=514"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}