Microsoft repareert een bug die NTFS heel gemakkelijk corrumpeert

Er is een al lang bestaande bug in Windows die het bestandssysteem beschadigt met verschillende acties. Een enkele opdracht, een misvormd HTML-bestand of zelfs een snelkoppeling die u in een ZIP-archief ziet, kan het bestandssysteem beschadigen. Windows 10, te beginnen met versie 1803, en naar verluidt Windows 8/8.1 behoren tot de kwetsbare besturingssystemen.

Een veiligheidsonderzoeker, Jonas L, ontdekte een NTFS-kwetsbaarheid die van invloed is op Windows 10 en die nog niet is verholpen. De onderzoeker vertelde BleepingComputer dat de fout kan worden misbruikt vanaf Windows 10 build 1803, de update van Windows 10 april 2018, en blijft werken in de nieuwste versie. Ik heb gehoord dat Windows 8 en Windows 8.1 ook door het probleem worden getroffen, en zelfs Windows XP. Maar Windows 7 wordt niet beïnvloed. Dit is volgens de rapporten van andere mensen. Winaero heeft zelf geen oudere systemen geverifieerd.

Hoe het werkt

Het probleem is echt serieus. Een eenvoudig commando, zelfs wanneer het wordt uitgevoerd door een gebruiker met weinig bevoegdheden, beschadigt een NTFS-geformatteerde harde schijf, waarbij Windows de gebruiker vraagt ​​de computer opnieuw op te starten om de beschadigde schijfrecords te herstellen.

Waarschuwing: test deze opdracht niet op een van uw apparaten die belangrijke gegevens bevatten. Het bestandssysteem wordt beschadigd en u kunt al uw gegevens kwijtraken. Je bent gewaarschuwd.

De opdracht ziet er als volgt uit.

Het belangrijkste hier is het $i30 NTFS-indexkenmerk. Dat NTFS-indexkenmerk is een attribuut dat is gekoppeld aan mappen die een lijst bevatten van de bestanden en submappen van een map. In sommige gevallen kan de NTFS-index ook verwijderde bestanden en mappen bevatten.

'Ik heb geen idee waarom het dingen corrumpeert en het zou veel werk zijn om erachter te komen omdat de reg-sleutel die BSOD op corruptie zou moeten hebben, niet werkt. Dus ik laat het over aan de mensen met de broncode,'

... zei de onderzoeker.

De bovenstaande opdracht kan elke schijf beschadigen, niet alleen de C: schijf. Nadat u op Enter hebt gedrukt, verschijnt er een foutmelding met de melding "Het bestand of de map is beschadigd en onleesbaar."

Windows 10 zal de gebruiker vragen de computer opnieuw op te starten om de beschadigde schijf te herstellen. Bij het opnieuw opstarten zal de Windows CheckDisk-app starten en het bestandssysteem repareren.

Het kan op verschillende manieren worden geactiveerd

Het is niet alleen de bovenstaande opdracht die het probleem veroorzaakt. Een speciaal geprepareerd internetsnelkoppelingsbestand (.url) waarvan de pictogramlocatie is ingesteld op C:\:$i30:$bitmap, activeert het beveiligingslek, zelfs als de gebruiker het bestand nooit heeft geopend. Zodra File Explorer een dergelijk "pictogram" probeert weer te geven, raakt de schijf onmiddellijk beschadigd. Het enige dat u hoeft te doen, is het in Verkenner te bekijken.

Als een dergelijk bestand is opgenomen in een ZIP-archief, activeert dat ZIP-archief de kwetsbaarheid elke keer dat het wordt uitgepakt. Evenzo kan het in een ISO-, VHD- of VHDX-bestand worden geplaatst.

De onderzoeker zei dat een bewerkte HTML-pagina die bronnen van een netwerkshare insluit, hetzelfde zal doen.

Ten slotte hebben gebruikers bedacht dat het voldoende is om de bovenstaande ':$i30'-string in de adresbalk van de browser te plakken.

Er wordt aan de oplossing gewerkt

De rand heeft contact opgenomen met Microsoft en de woordvoerder van het bedrijf heeft ervoor gezorgd dat ze al werken aan een oplossing voor dit probleem.

We zijn op de hoogte van dit probleem en zullen in een toekomstige release een update verstrekken. Het gebruik van deze techniek is gebaseerd op social engineering en zoals altijd moedigen we onze klanten aan om te oefenen goede computergewoonten online, inclusief voorzichtigheid bij het openen van onbekende bestanden of het accepteren van bestanden overschrijvingen.

Er is dus geen beperking voor deze kwetsbaarheid op het moment van schrijven. Wees voorzichtig bij het downloaden en bekijken van bestanden. Als u een dreiging vermoedt, gebruik dan een consolebestandsbeheerder zoals: Ver die geen pictogrammen toont en ophaalt.