Une vulnérabilité de déni de service a été découverte sur Windows

La preuve de concept de l'exploitation d'une vulnérabilité permettant de provoquer un déni de service sur les systèmes Windows ("Blue Screen Of Death") ainsi que la vidéo de démonstration associée ont été rendus publics.

En utilisant une image spécialement conçue d'un système de fichiers Windows NT (NTFS) chargé sur une clé USB, il est possible de provoquer le déni de service du système sous Windows même s'il est verrouillé en y insérant simplement la clé USB. Le système plante dès l'insertion de la clé USB car par défaut l'"Auto-play" est activé. Si l'"Auto-play" est désactivé, le système plantera lors de l'accès au fichier malveillant.

Le chercheur ayant publié la preuve de concept confirme qu'il serait possible de coder cette attaque dans un malware qui se déploierait sur les machines des victimes à distance au moyen de campagnes de spam ou par téléchargements.

Le chercheur ayant découvert cette faille l'a exploitée avec succès sur trois systèmes Windows : Windows 7 Enterprise 6.1.7601 SP1, Build 7601 x64; Windows 10 Pro 10.0.15063, Build 15063 x64; et Windows 10 Enterprise Evaluation Insider Aperçu 10.0.16215, Build 16215 x64.

Microsoft a été informé de la vulnérabilité mais a décidé de ne pas publier de patch. Selon l'éditeur, la vulnérabilité n'est pas assez critique pour être corrigée en raison de la nécessité d'avoir un accès physique à la machine ou d'user d'ingénierie sociale.