Egy rém egyszerű paranccsal károsítható akármelyik partíció a Windows 10 alatt

Majdnem három éve része a hiba a rendszernek, aminek a kihasználásához semmilyen különleges jogosultság nem szükséges.

A Twitteren tevékenykedő, Jonas L nevű szakember az előző héten nyilvánosságra hozott egy olyan sebezhetőséget, amely egyetlen szimpla paranccsal képes problémákat okozni akármelyik NTFS partíción. Persze itt az adatok alapvetően nem tűnnek el, csak sérül a fájlrendszer struktúrája, ami már elég ahhoz, hogy fejfájást idézzen elő a felhasználók többségénél. A Windows 10 operációs rendszer ezt természetesen megpróbálja helyreállítani, de az eddigi adatok alapján nincs arra garancia, hogy ez sikerül.

Hirdetés

A probléma az NTFS indexattribútumához kötődik, vagyis a "$i30"-hoz, de azt nem tudni, hogy ez konkrétan miért képes olyan sérülést okozni a fájlrendszer struktúrájában, hogy az adott partíció esetlegesen kezelhetetlenné váljon. A hiba előhozásához elég például a "cd c:\:$i30:$bitmаp" parancsot futtatni, amihez különleges jogosultság sem szükséges, és a 1803-as verziójú, vagy újabb Windows 10 máris jelzi, hogy valami gond van a rendszerpartícióval. A következő újraindítás során az operációs rendszer megpróbálja helyreállítani a fájlrendszer sérülését, ami sokszor megoldás, de előfordulhat olyan helyzet is, amikor nem. Utóbbi esetben elindul egy rendszerdiagnosztika, ami a partíció hibáit ellenőrzi részletesen, majd javítja azokat, de ez bizony nagyon sokáig, akár órákig is tarthat, viszont jó esély van a rendszer helyreállítására. Bizonyos esetekben viszont semmi sem segít, és nem tudni, hogy miért. Ekkor az adatok még lementhetők az adattárolóról egy erre való szoftver segítségével, de a partíció törlése, illetve a rendszer újratelepítése elkerülhetetlenné válik. A fentebb említett parancs egyébként akármelyik partícióra működik.


(forrás: Jonas L Twitter) [+]

Bár logikus azt gondolni, hogy az előbbi könyvtárnevet úgy sem üti majd be senki, de a probléma ennél bonyolultabb, ugyanis különböző támadási formákra van lehetőség. Például olyan ikont lehet elhelyezni a munkaasztalra, amely egy böngészőn keresztül megnyitja a fentebb leírt könyvtárat, ugyanez eljátszható HTML-ben, elvégre megadható linkként a problémás útvonal. Ez egyébként online formában nem működik.

A legveszélyesebb támadási forma az URL fájlokon keresztül lehetséges, ugyanis sok tömörített adat mellett lehet egy olyan állomány, aminél az IconFile forrásának a gondot okozó könyvtár van megjelölve. Ilyenkor egyszerűen futtatni sem kell az URL kiterjesztésű állományt, elég kitömöríteni azt, és a Windows 10 operációs rendszer máris keresi a megadott helyen az ikont, amivel előidézi a fenti problémát.

A Microsoft egyébként tud a hibáról, és már készül is rá a javítás.

Azóta történt