Для Microsoft Windows нашли сразу две новые уязвимости критической важности, одна из них позволяет удаленно взломать компьютер через PDF-документ, другая — уронить систему в «синий экран смерти» (BSOD).
Специалист по кибербезопасности компании Check Point Ассаф Бахарав заявил, что нашел уязвимости в стандарте PDF, позволяющие выкрасть учетные данные Windows. Эта брешь дает возможность получить хеши NTLM (протокола аутентификации), которые хранят данные для доступа к машине. Таким образом, можно создать PDF-документ, в котором заложены функции Go To Remote и Go To Embedded (удаленный доступ и внешние вставки). При открытии такого файла документ самостоятельно отправляет запрос на удаленный SMB-сервер. Все запросы сетевого протокола включают в себя аутентификацию с помощью хешей NTLM: таким образом, учетные данные пользователя будут сохранены, и хакеру лишь остается прописать путь до вредоносного сервера. Ранее сообщалось об аналогичном способе удаленного взлома через документ Microsoft Word.
Еще одну дыру обнаружил исследователь компании Bitdefender Мариус Тивадар. Он опубликовал на GitHub PoC-код, который за секунды может вывести из строя большинство Windows-ПК, даже если они заблокированы. Этот код содержит видоизмененный образ файловой системы NTFS, уязвимость в которой использовал Тивадар. Если такой код загрузить на USB-флэш-накопитель и вставить его в порт компьютера, на котором стоит Windows, через считанные секунды система перестанет работать и появится синий экран смерти.
При этом даже если автовспроизведение на компьютере будет отключено, код все равно может «убить» ОС, например, если USB просканирует программа Windows Defender. Примечательно, что Тивадар еще год назад сообщал Microsoft о своей находке, но компания отказалась классифицировать баг как уязвимость, поскольку для его эксплуатации требуется иметь физический доступ к компьютеру. Исследователь считает, что Microsoft неправа, и доставить код на компьютер удаленно — лишь дело техники.
