El comando de una línea de Windows 10 puede dañar el disco duro NTFS

Edition Bleeping Computer informó que un error de día cero no corregido en Windows 10 le permite dañar el disco duro con el sistema de archivos NTFS usando comandos de una línea. Un exploit para este problema puede estar oculto dentro de un archivo de acceso directo, archivo ZIP, archivos por lotes, etc., y dichos archivos causarán daños instantáneos a la estructura del sistema de archivos.

El problema en el último año lo encontró el investigador de seguridad de la información, conocido como Jonas L (Jonas L). Trató de llamar la atención sobre el error en agosto y octubre de 2020, pero solo lo logró esta semana.

La explotación de la vulnerabilidad es extremadamente simple: un comando de una línea daña instantáneamente el disco con el sistema de archivos NTFS, después de lo cual Windows solicita al usuario que reinicie la computadora para reparar el daño. Cuando reinicia, se inicia la utilidad Comprobar disco y comienza la recuperación. En este caso, puede ver en los registros que la tabla maestra de archivos (MFT) del disco contiene un registro dañado.

event viewer

El investigador dice que la vulnerabilidad apareció en el código de actualización de Windows 10 build 1803 y Windows 10 April 2018, y sigue siendo relevante hasta el día de hoy. Peor aún, una cuenta de usuario de Windows 10 estándar y con pocos privilegios es suficiente para operarlo.

La activación de un error y la corrupción del disco se pueden activar simplemente al intentar acceder al atributo NTFS $ i30 de una manera específica. A continuación puede ver un ejemplo de un comando de una línea tan peligroso. Advertencia: no pruebe el error en su propio sistema en ejecución, ¡use una máquina virtual para esto!

command

Jonas explica que el atributo $ i30 está asociado con directorios, contiene una lista de archivos y subcarpetas de un directorio y, en algunos casos, puede incluir archivos y carpetas eliminados, lo cual es útil para respuesta a incidentes o análisis forense. Al mismo tiempo, el investigador admite que no comprende cómo la referencia a este atributo daña el disco, y por qué no funciona la clave de registro, que podría ayudar a diagnosticar el problema.

“No tengo idea de por qué esto está causando daños. Se necesita mucho trabajo para descubrir por qué la clave de registro que debería ser responsable del BSOD no funciona. Así que se lo dejo a la gente con el código fuente ”, dice el experto.

Los reporteros de Bleeping Computer que realizaron sus propias pruebas advierten que el error puede explotarse de diversas formas. Por ejemplo, un archivo de acceso directo de Windows (.url) con un icono ubicado en C: \: $ i30: $ bitmap activará la vulnerabilidad incluso si el usuario nunca ha abierto el archivo. Basta con navegar por la carpeta con el archivo para que Windows intente mostrar el icono.

Aunque SOP restringe tales ataques en la mayoría de los navegadores (por ejemplo, no será posible utilizar un documento HTML remoto que haga referencia a file: /// C: /: $ i30: $ bitmap), los investigadores creen que estas restricciones se pueden omitir u otros vectores. Ataques. Por ejemplo, en la captura de pantalla a continuación, la vulnerabilidad se desencadenó debido a un archivo ZIP con un archivo problemático.

zip archive ntfs perpetual attack

Según los informes, Microsoft ya está investigando la vulnerabilidad. Los usuarios, mientras tanto, han descubierto que las versiones anteriores de Windows, incluido Windows XP, también se ven afectadas .

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

A %d blogueros les gusta esto: