Niezałatana luka dnia zerowego w systemie Microsoft Windows 10 umożliwia atakującym uszkodzenie danych na dysku twardym formatowanym w systemie plików NTFS za pomocą jednowierszowego polecenia.
W wielu testach przeprowadzonych przez BleepingComputer ta jedna linijka może zostać dostarczona ukryta w pliku skrótu systemu Windows, archiwum ZIP, plikach wsadowych lub różnych innych wektorach, aby wywołać błędy dysku twardego, które natychmiast uszkadzają indeks systemu plików.
W sierpniu 2020 r., Październiku 2020 r. i na końcu w tego tygodnia, Jonas L , badacz infosec, zwrócił uwagę na lukę NTFS wpływającą na system Windows 10, która nie została naprawiona.
Wykorzystując lukę, którą można wywołać za pomocą jednowierszowego polecenia jesteśmy w stanie uszkodzić strukturę systemu plików dysku sformatowanego w systemie NTFS, a system Windows monituje użytkownika o ponownym uruchomieniu komputera w celu naprawy uszkodzonych rekordów dysku.
Badacz powiedział BleepingComputer, że wada stała się możliwa do wykorzystania począwszy od systemu Windows 10 w wersji 1803, aktualizacji systemu Windows 10 z kwietnia 2018 r., i nadal działa w najnowszej wersji.
Co gorsza, lukę w zabezpieczeniach mogą wywołać standardowe i nisko uprzywilejowane konta użytkowników w systemach Windows 10.
Dysk może zostać uszkodzony przez zwykłą próbę uzyskania dostępu do atrybutu $ i30 NTFS w folderze w określony sposób.
* OSTRZEŻENIE * Wykonanie poniższego polecenia w systemie na żywo spowoduje uszkodzenie dysku i prawdopodobnie uniemożliwi dostęp do niego. Testuj to polecenie TYLKO na maszynie wirtualnej, którą możesz przywrócić do wcześniejszej migawki, jeśli dysk zostanie uszkodzony.
*OSTRZEŻENIE*
Poniżej pokazano przykładowe polecenie powodujące uszkodzenie dysku.
Atrybut indeksu Windows NTFS lub ciąg „ $ i30 ” to atrybut NTFS powiązany z katalogami, który zawiera listę plików i pod folderów katalogu. W niektórych przypadkach indeks NTFS może również obejmować usunięte pliki i foldery , co jest przydatne podczas reagowania na incydenty lub przeprowadzania badań kryminalistycznych.
Nie jest jasne, dlaczego dostęp do tego atrybutu powoduje uszkodzenie dysku, a Jonas powiedział firmie BleepingComputer, że klucz rejestru, który pomógłby zdiagnozować problem, nie działa.
Nie mam pojęcia, dlaczego to psuje rzeczy i byłoby dużo pracy, aby się dowiedzieć, ponieważ klucz reg, który powinien powodować BSOD w przypadku uszkodzenia, nie działa. Więc zostawię to ludziom z kodem źródłowym – powiedział Jonas BleepingComputer.
Po uruchomieniu polecenia w wierszu polecenia systemu Windows 10 i naciśnięciu klawisza Enter użytkownik zobaczy komunikat o błędzie z informacją: „Plik lub katalog jest uszkodzony i nieczytelny”.
System Windows 10 natychmiast zacznie wyświetlać powiadomienia monitujące użytkownika o ponowne uruchomienie komputera i naprawę uszkodzonego woluminu dysku. Po ponownym uruchomieniu narzędzie Windows Check disk (CHKDSK ) uruchamia się i rozpoczyna naprawę dysku twardego.
Testy BleepingComputer pokazują również, że można użyć tego polecenia na dowolnym dysku, nie tylko na dysku C: wtedy ten wybrany dysk zostanie uszkodzony.
