Windows 10:漏洞允许破坏NTFS媒体内容

windows10使用的NTFS文件系统的实现中存在一个以前未修补的漏洞。通过此漏洞,攻击者有可能破坏windows10使用的NTFS卷的内容。在NTFS卷上适当地制作文件以触发该漏洞。现在,安全研究人员已经在无数次指出这一点。

我从2021年1月9日起在Twitter上取消了@jonasLyk的最新披露-请参阅以下推文。访问特制文件夹足以利用此漏洞。整个过程可以远程触发(例如,下载精心制作的快捷方式文件或ZIP存档)。

onas L.已在2020年8月和2020年10月公开披露了此NTFS漏洞,没有任何反应。因此,他联系了Bleeping Computer,后者对其进行了测试,然后在本文中进行了披露。

短命令就足够了

对于利用此漏洞的攻击者,单行命令足以损坏NTFS格式的硬盘驱动器。可以通过将精心制作的文件(甚至是远程文件)放置在受影响的驱动器上的文件夹中来完成此操作。读取此文件后,Windows会提示用户重新启动计算机以修复损坏的磁盘条目。

Bleeping Computer在此处显示了一个命令作为此类触发器的示例,但警告不要在系统上对其进行测试。这是因为NTFS驱动器可能无法读取并随后丢失。在windows10命令提示符下运行命令后,错误:“文件或目录已损坏且无法读取。” 立即显示。为了进行测试,应该使用虚拟机。

显示的命令访问NTFS卷的$ 130属性。NTFS文件系统使用此$ I30属性来维护属于目录的所有文件/子目录的索引。

目前,尚不清楚为什么访问此属性会损坏驱动器。乔纳斯•L(Jonas L.)在对Bleeping Computer讲话时说:“我不知道为什么访问该属性会破坏NTFS卷。要弄清楚这一点将需要大量工作,因为在损坏时应触发BSOD的reg密钥不起作用。因此,我将其留给拥有源代码的人员。

将准备好的文件(例如.lnk文件)放在NTFS驱动器上(不需要打开数据)就足以触发错误。也可以考虑准备ZIP归档文件,这些文件在解压缩时会触发错误。驱动器损坏后,windows10在事件日志中生成错误,指出相应驱动器的主文件表(MFT)包含损坏的记录。

windows10版本1803中存在错误

正如Jonas L.对Bleeping Computer所说,他能够利用windows10版本1803中的错误。据说该错误在当前版本20H2之前仍然可以利用。Bleeping Computer在文章中写道,来自安全研究界的消息称,此类严重漏洞已被知晓多年。该错误早些时候已报告给Microsoft,但未修复。

Bleeping Computer已与Microsoft核对,以了解他们是否已经知道该错误以及是否会修复该错误。回应是:“微软已承诺要对其客户进行调查,以报告所报告的安全问题,我们将尽快为受影响的设备提供更新。”本文来源于win10系统下载官网,转载请注明来源与出处。

    您可能感兴趣的文章

    文章模式

    Windows 10:漏洞允许破坏NTFS媒体内容

    windows10使用的NTFS文件系统的实现中存在一个以前未修补的漏洞。通过此漏洞,攻击者有可能破坏windows10使用的NTFS卷的内容。在NTFS卷上适当地制作文件以触发该漏洞。现

    长按识别二维码 进入电脑技术网查看详情

    请长按保存图片