Microsoft odpravlja napako, ki zelo zlahka pokvari NTFS

V sistemu Windows obstaja dolgoletna napaka, ki z različnimi dejanji poškoduje datotečni sistem. En ukaz, napačno oblikovana datoteka HTML ali celo bližnjica, ki jo vidite v arhivu ZIP, lahko poškoduje datotečni sistem. Windows 10, začenši z različico 1803, in domnevno Windows 8/8.1 sta med ranljivimi operacijskimi sistemi.

Varnostni raziskovalec, Jonas L, je odkril ranljivost NTFS, ki vpliva na Windows 10, ki še ni bila odpravljena. Raziskovalec je povedal BleepingComputer da je napaka postala izkoriščena od različice Windows 10 build 1803, posodobitve sistema Windows 10 aprila 2018 in še naprej deluje v najnovejši različici. Slišal sem, da težava vpliva tudi na Windows 8 in Windows 8.1 in celo na Windows XP. Toda Windows 7 to ne vpliva. To je v skladu s poročili drugih ljudi. Winaero samih starejših sistemov ni preveril.

Kako deluje

Zadeva je res resna. Preprost ukaz, tudi če ga izvede uporabnik z nizkimi privilegiji, poškoduje trdi disk, oblikovan v NTFS, pri čemer Windows pozove uporabnika, da znova zažene svoj računalnik, da popravi poškodovane zapise na disku.

Opozorilo: tega ukaza ne preizkušajte na nobeni napravi, ki vsebuje pomembne podatke. Datotečni sistem bo poškodovan in lahko izgubite vse svoje podatke. Bili ste opozorjeni.

Ukaz je videti takole.

Ključna stvar je indeksni atribut $i30 NTFS. Ta atribut indeksa NTFS je atribut, povezan z imeniki, ki vsebuje seznam datotek in podmap imenika. V nekaterih primerih lahko indeks NTFS vključuje tudi izbrisane datoteke in mape.

»Pojma nimam, zakaj pokvari stvari, in bilo bi veliko dela, da bi ugotovili, ker reg ključ, ki bi moral BSOD o korupciji, ne deluje. Torej bom to prepustil ljudem z izvorno kodo,'

... je dejal raziskovalec.

Zgornji ukaz lahko poškoduje kateri koli pogon, ne samo pogon C:. Ko pritisnete Enter, se prikaže sporočilo o napaki, ki pravi: »Datoteka ali imenik je poškodovan in neberljiv«.

Windows 10 bo uporabnika pozval, naj znova zažene računalnik, da popravi poškodovan pogon. Ob ponovnem zagonu se bo zagnala aplikacija Windows CheckDisk in popravila datotečni sistem.

Lahko se sproži z različnimi metodami

Težave ne povzroča samo zgornji ukaz. Posebej pripravljena datoteka z internetno bližnjico (.url), ki je imela lokacijo ikone nastavljeno na C:\:$i30:$bitmap, bo sprožila ranljivost, tudi če uporabnik nikoli ni odprl datoteke. Ko File Explorer poskuša prikazati takšno "ikono", se pogon takoj poškoduje. Vse kar morate storiti je, da si ga ogledate v File Explorerju.

Če je taka datoteka vključena v arhiv ZIP, bo ta ZIP arhiv sprožil ranljivost vsakič, ko bo ekstrahiran. Podobno ga je mogoče postaviti v datoteko ISO, VHD ali VHDX.

Raziskovalec je dejal, da bo izdelana stran HTML, ki vdela vire iz omrežne skupne rabe, storila enako.

Nazadnje so uporabniki ugotovili, da je dovolj, da zgornji niz ':$i30' prilepite v naslovno vrstico brskalnika.

Popravek se dela

The Verge je stopil v stik z Microsoftom in tiskovni predstavnik podjetja je zagotovil, da že delajo na odpravljanju te težave.

Zavedamo se te težave in bomo zagotovili posodobitev v prihodnji izdaji. Uporaba te tehnike temelji na socialnem inženiringu in kot vedno spodbujamo naše stranke k praksi dobre računalniške navade na spletu, vključno s previdnostjo pri odpiranju neznanih datotek ali sprejemanju datotek transferji.

Torej od tega pisanja ni nobenega ublažitve za to ranljivost. Bodite previdni pri prenosu in ogledovanju datotek. Če sumite na kakršno koli grožnjo, uporabite konzolni upravitelj datotek, kot je Daleč ki ne prikaže in ne pridobi ikon.