Портал BleepingComputer провел серию тестов и убедился, что данная однострочная команда может быть скрыта в файлах ярлыка Windows, архивах ZIP и пакетных файлов. Таким образом, киберпреступники могли использовать различные векторы атаки, чтобы спровоцировать повреждение жесткого диска и индекса файловой системы.
«Критически недооцененная» уязвимость NTFS
В августе 2020 года, октябре 2020 года и, наконец, на этой неделе, исследователь из InfoSec Йонас Л привлек внимание к уязвимости NTFS в Windows 10, которая до сих пор не исправлена.
NTFS VULNERABILITY CRITICALITY UNDERESTIMATED
— Jonas L (@jonasLyk) January 9, 2021
-
There is a specially nasty vulnerability in NTFS right now.
Triggerable by opening special crafted name in any folder anywhere.&&
The vulnerability will instant pop up complaining about yuor harddrive is corrupted when path is opened pic.twitter.com/E0YqHQ369N
Эксплуатацию уязвимости можно выполнить с помощью однострочной команды, после чего мгновенно происходит повреждение жесткого диска NTFS. Система предлагает перезагрузить компьютер, чтобы восстановить поврежденные записи на диске.
Уязвимость затрагивает все последние версии операционной системы Windows 10 начиная с версии 1803. Она сохраняется в том числе и в новейшей версии 20H2.
Что еще тревожней, эксплуатация возможно даже в сеансах со стандартными учетными записями, когда пользователи обладают низкими привилегиями.
Диск можно повредить, если определенным образом попытаться получить доступ к атрибуту $i30 NTFS в папке.
Отказ от ответственности
Выполнение приведенной ниже команды на работающей системе приведет к повреждению диска и, возможно, сделает его недоступным.
Проверяйте эту команду ТОЛЬКО на виртуальной машине, которую вы можете восстановить до более раннего снимка, если диск будет поврежден
Приводим пример команды, которая приводит к повреждению диска:
Атрибут индекса NTFS или строка «$i30» представляет собой список файлов и подпапок каталога. В некоторых случаях индекс NTFS может включать удаленные файлы и папки, что удобно при восстановлении объектов во время экспертизы.
Доподлинно неизвестно, почему доступ именно к этому атрибуту с идентификатором 30 повреждает диск. Йонас отметил, что ключ реестра, который помог бы диагностировать проблему, не работает.
Исследователь сообщил:
Я понятия не имею, почему именно эта команда приводит к повреждению индекса. Очень сложно установить истинную причину, потому что ключ реестра, который вызывает BSOD при повреждении не работает. Пускай в этом разберутся те, кто имеет доступ к исходному коду.
После запуска команды в командной строке и нажатия Enter пользователь Windows 10 получит ошибку «Файл или папка повреждены. Чтение невозможно».
Windows немедленно выведет уведомление с предложение перезагрузить компьютер и восстановить поврежденный том диска. При перезагрузке запускается утилита проверки диска Windows, которая начинает восстановление жесткого диска, как показано на видео.
После повреждения дисков Windows 10 начнет генерировать ошибки в журнале событий, указывая, что основная таблица файлов (MFT) для конкретного диска содержит поврежденную запись.
Тесты BleepingComputer показывают, что команду можно применять к любым дискам, а не только к системному диску С. При этом указанный диск будет поврежден.
Способы эксплуатации уязвимости нулевого дня
Злоумышленники могут злонамеренно использовать команду в различных демонстрационных (Proof-of-Concept) эксплойтах.
Один из способов эксплуатации даже не требует открытия файла. Для этого нужно создать файл ярлыка интернет-ссылки Windows (.url) со следующим расположением иконки: C:\:$i30:$bitmap.
Как только этот файл ярлыка загружается на ПК с Windows 10 и пользователь просматривает папку, содержащую ярлык, Проводник Windows попытается отобразить значок файла.
Для этого Проводник Windows попытается получить доступ к указанному пути иконки в фоновом режиме, тем самым повредив жесткий диск NTFS.
Затем на компьютере станут появляться уведомлении о перезагрузке для восстановления жесткого диска. Таким образом, эксплуатация произошла даже без открытия файла или двойного клика по ярлыку.
Эксплуатация через ZIP-архивы, HTML-файлы и другими методами
Злоумышленники могут проявить креативность при доставке полезной нагрузке жертве.
Хотя политика Same-origin в браузерах ограничивает атаки, обслуживаемые с удаленного сервера (например, расположенные на сервере HTML-документ, ссылающийся на file:///C:/:$i30:$bitmap), существуют нестандартные средства для обхода таких защит.
Исследователь заявляет, что для удаленного запуска этого эксплойта можно использовать другие векторы атаки, например, HTML-страницы, которые встраивают ресурсы из общих сетевых ресурсов или общих дисков со ссылками на индекс $i30. В некоторых возможно повреждение главной таблицы файлов NTFS (MFT).
В некоторых тестах BleepingComputer после того, как утилита Windows 10 chkdsk «исправила» ошибки жесткого диска при перезагрузке, содержимое файла эксплойта, в данном случае созданный ярлык Windows с путем иконки C:\:$i30:$bitmap был очищен и заменен пустыми байтами. Это значит, что файла ярлыка Windows достаточно, чтобы провести разовую атаку.
Кроме того, жертва вряд ли загрузит ярлык Windows (.url) из Интернета.
Чтобы сделать атаку более реалистичной и надежной, злоумышленники могут обменными методами заставить пользователей загрузить ZIP-архив для доставки созданного файла.
Например, злоумышленник включить вредоносный файл ярлыка в архив с большим количеством легитимных файлов. В этом случае велика вероятность не только загрузки архива, но и эксплуатации уязвимости после распаковки архива и просмотра файлов.
Если же архив не будет извлечен, то эксплойт не будет запущен.
Даже при извлечении в ходе восстановления жесткого диска будет очищен распакованный файл ярлыка Windows, но копия внутри архива сохранится. Если пользователь попытается повторно извлечь ZIP, диск будет снова поврежден.
Согласно источникам в сообществе InfoSec подобные уязвимости известны много лет, но Microsoft до сих пор их не исправила.
В ответ на запрос BleepingComputer по поводу данной уязвимости, представитель Microsoft сообщил:
У Microsoft есть обязательства перед клиентами по расследованию выявленных проблем безопасности, и мы предоставим обновления для затронутых устройств в кратчайшие сроки.
Последние статьи #Windows
• Обновление KB5044386 (Build 22635.4300) для Windows 11, версия 23H2 (Beta)
• Обновление KB5044388 (Build 26120.1930) для Windows 11, версия 24H2 (Dev)
• «Вторник Патчей», 8 октября 2024 года: Windows 11 и Windows 10 получат обновления безопасности
• Как скачать ISO-образы Windows 11 ARM64?
• Как установить Windows 11 ARM на Mac с процессорами Apple
• Microsoft выпустит официальные ISO-образы для Windows 11 на ARM64 «в ближайшие недели»