Microsoft коригира грешка, която много лесно поврежда NTFS

Има дългогодишна грешка в Windows, която уврежда файловата система с различни действия. Една единствена команда, неправилно оформен HTML файл или дори пряк път, който виждате в ZIP архив, може да повреди файловата система. Windows 10, започвайки с версия 1803, и според съобщенията Windows 8/8.1 са сред уязвимите операционни системи.

Изследовател по сигурността, Джонас Л, откри уязвимост в NTFS, засягаща Windows 10, която все още не е коригирана. Изследователят каза BleepingComputer че недостатъкът е станал експлоатируем, започвайки около Windows 10 build 1803, актуализацията на Windows 10 април 2018 г. и продължава да работи в най-новата версия. Чувал съм, че Windows 8 и Windows 8.1 също са засегнати от проблема и дори Windows XP. Но Windows 7 не е засегнат. Това е според докладите на други хора. Winaero не е проверил самите по-стари системи.

Как работи

Въпросът е наистина сериозен. Една проста команда, дори когато се изпълнява от потребител с ниски привилегии, поврежда NTFS-форматиран твърд диск, като Windows подканва потребителя да рестартира компютъра си, за да поправи повредените записи на диска.

Предупреждение: Не тествайте тази команда на никое от вашите устройства, съдържащи важни данни. Файловата система ще бъде повредена и може да загубите всичките си данни. Предупреден си.

Командата изглежда по следния начин.

Ключовото нещо тук е индексният атрибут $i30 NTFS. Този NTFS индексен атрибут е атрибут, свързан с директории, който съдържа списък с файлове и подпапки на директория. В някои случаи индексът NTFS може да включва и изтрити файлове и папки.

„Нямам представа защо поврежда нещата и би било много работа, за да се разбере, защото рег. ключът, който трябва да BSOD за корупция, не работи. Така че ще го оставя на хората с изходния код,'

... каза изследователят.

Горната команда може да повреди всяко устройство, не само C: устройството. След като натиснете Enter, ще се появи съобщение за грешка, в което се казва „Файлът или директорията са повредени и нечетливи“.

Windows 10 ще подкани потребителя да рестартира компютъра, за да поправи повреденото устройство. При рестартиране приложението Windows CheckDisk ще стартира и ще коригира файловата система.

Може да се задейства чрез различни методи

Не само горната команда причинява проблема. Специално подготвен файл с пряк път към Интернет (.url), който има местоположение на иконата, зададено на C:\:$i30:$bitmap, ще задейства уязвимостта, дори ако потребителят никога не е отварял файла. След като File Explorer се опита да покаже такава "икона", устройството незабавно ще се повреди. Всичко, което трябва да направите, е да го видите във File Explorer.

Ако такъв файл е включен в ZIP архив, този ZIP архив ще задейства уязвимостта всеки път, когато бъде извлечен. По същия начин той може да бъде поставен в ISO, VHD или VHDX файл.

Изследователят каза, че изработена HTML страница, която вгражда ресурси от мрежов дял, ще направи същото.

И накрая, потребителите разбраха, че е достатъчно да поставят горния низ „:$i30“ в адресната лента на браузъра.

Поправката се работи

На ръба се свърза с Microsoft и говорителят на компанията се увери, че те вече работят по отстраняването на този проблем.

Ние сме наясно с този проблем и ще предоставим актуализация в бъдеща версия. Използването на тази техника разчита на социалното инженерство и както винаги ние насърчаваме нашите клиенти да практикуват добри компютърни навици онлайн, включително предпазливост при отваряне на неизвестни файлове или приемане на файл трансфери.

Така че няма смекчаване на тази уязвимост към момента на писане. Бъдете внимателни, докато изтегляте и преглеждате файлове. Ако подозирате някаква заплаха, използвайте конзолен файлов мениджър като Далеч който не показва и не извлича икони.