Windows 10错误在看到此文件的图标时损坏了您的硬盘

2021-01-15 20:47:31

Microsoft Windows 10中未修补的零日漏洞允许攻击者使用单行命令破坏NTFS格式的硬盘。

在BleepingComputer进行的多次测试中,可以将这种单行代码隐藏在Windows快捷文件,ZIP归档文件,批处理文件或其他各种向量中,以触发硬盘驱动器错误,从而立即破坏文件系统索引。

2020年8月,2020年10月以及本周最后一个星期,信息安全研究员Jonas L提请注意影响Windows 10的尚未修复的NTFS漏洞。

利用此漏洞时,可通过单行命令触发此漏洞,以立即破坏NTFS格式的硬盘驱动器,并通过Windows提示用户重新启动计算机以修复损坏的磁盘记录。

研究人员告诉BleepingComputer,该漏洞从Windows 10 build 1803(Windows 10 April 2018 Update)开始就可以被利用,并且可以在最新版本中继续使用。

更糟糕的是,该漏洞可能由Windows 10系统上的标准和低特权用户帐户触发。

仅以某种方式尝试访问文件夹中的$ i30 NTFS属性,驱动器可能会损坏。

*警告*在运行中的系统上执行以下命令将损坏驱动器并可能使其无法访问。仅在虚拟机中测试此命令,如果驱动器损坏,您可以将其还原到早期快照。 *警告*

Windows NTFS索引属性,或' $ i30'字符串,是与目录关联的NTFS属性,其中包含目录的文件和子文件夹的列表。在某些情况下,NTFS索引还可以包括已删除的文件和文件夹,在执行事件响应或取证时非常方便。

目前尚不清楚为什么访问此属性会损坏驱动器,乔纳斯告诉BleepingComputer,有助于诊断问题的注册表项不起作用。

'我不知道为什么它会破坏内容,并且要找出很多工作,因为应该对破坏进行BSOD的reg密钥不起作用。因此,我将其与源代码一起交给人们,乔纳斯告诉BleepingComputer。

在Windows 10命令提示符中运行命令并按Enter后,用户将看到一条错误消息,指出"文件或目录已损坏且不可读。

Windows 10将立即开始显示通知,提示用户重新启动PC并修复损坏的磁盘卷。重新启动后,Windows检查磁盘实用程序将运行并开始修复硬盘驱动器,如以下视频所示。

驱动器损坏后,Windows 10将在事件日志中生成错误,指出特定驱动器的主文件表(MFT)包含损坏的记录。

BleepingComputer的测试还显示,您可以在任何驱动器上使用此命令,不仅可以在C:驱动器上使用,而且该驱动器随后将损坏。

在BleepingComputer进行的测试中,威胁参与者可以在各种PoC攻击中恶意使用该命令。

Jonas与我们共享的一个惊人发现是,将其图标位置设置为C:\:$ i30:$ bitmap的精制Windows快捷方式文件(.url)会触发漏洞,即使用户从未打开过该文件!

如BleepingComputer所观察到的那样,一旦在Windows 10 PC上下载了此快捷方式文件,并且用户查看了该快捷方式文件所在的文件夹,Windows资源管理器就会尝试显示该文件的图标。

为此,Windows资源管理器将尝试在后台访问文件内的预制图标路径,从而在此过程中损坏NTFS硬盘驱动器。

接下来,"重新修复硬盘驱动器"通知开始在Windows PC上弹出-所有这一切都无需用户打开或双击快捷方式文件。

富有创造力的攻击者还可以通过多种方式将这种有效载荷传递给受害者。

虽然大多数浏览器的同源策略会限制从远程服务器提供的此类攻击(例如,引用file:/// C:/:$ i30:$ bitmap的远程HTML文档),但存在创造性的方法来解决此类问题限制。

研究人员简要指出,可以使用其他向量来远程触发此攻击,例如通过精心制作的HTML页面,这些页面嵌入来自网络共享的资源或共享了引用了有问题的$ i30路径的驱动器。

在某些情况下,根据研究人员的说法,有可能损坏NTFS主文件表(MFT)。

在某些测试中,Windows 10的Chkdsk实用程序已修复"如果重新启动时出现硬盘错误,则将清除漏洞利用文件的内容,在这种情况下,将清除其图标设置为C:\:$ i30:$ bitmap的精心制作的Windows快捷方式,并替换为空字节。

这意味着精心制作的Windows快捷方式文件足以在发生这种情况时对其进行一次一次性攻击。

此外,受害者不太可能从互联网上下载Windows快捷方式(.url)文件。

为了使攻击更加真实和持久,攻击者可能会诱骗用户下载ZIP归档文件以交付精心制作的文件。

例如,攻击者可以利用ZIP存档中的大量合法文件,潜入其恶意Windows快捷方式文件。

不仅用户更有可能下​​载ZIP文件,而且ZIP文件每次提取时都可能触发漏洞利用。

这是因为除非解压缩,否则ZIP文件的压缩(并可能加密)内容(包括Windows快捷方式)将不会触发漏洞利用。

甚至在解压缩后,硬盘驱动器修复过程也会清空提取的Windows快捷方式文件,而不会触及ZIP存档中存在的压缩副本,直到用户尝试重新提取ZIP为止。

根据信息安全社区的消息来源,类似的严重漏洞已为人所知多年,并已较早报告给Microsoft,但仍未修复。

BleepingComputer与Microsoft联系,以了解他们是否已经知道该错误以及是否会修复该错误。

微软发言人对BleepingComputer表示:``微软有客户承诺调查已报告的安全问题,我们将尽快为受影响的设备提供更新。''