Microsoft Windows 10中未修复的零日漏洞允许攻击者使用单行命令破坏NTFS格式硬盘。攻击者可以隐藏这个命令Windows快速文件,ZIP为了触发硬盘驱动器的错误,立即破坏文件系统的索引,存档、批处理文件或其他矢量。
被严重低估的NTFS漏洞
2020年8月和10月,Infosec研究人员Jonas L两次提醒微软注意影响Windows 10的一个尚未修复NTFS漏洞。(下图)
攻击者可以通过单行命令触发漏洞并立即破坏NTFS格式硬盘,Windows提示用户重新启动计算机以修复损坏的磁盘记录。重新启动后,Windows检查磁盘的实用程序,并开始修复硬盘驱动器。
研究人员发现漏洞来自Windows 10 build 1803(Windows 10 April 2018 Update)开始引入,并在最新版本中继续有效。(编者:1803之前的版本不受此漏洞影响,最新版本修复后症状减轻)
更糟糕的是,漏洞是可以理由的Windows触发 10系统标准和低特权用户账户。
警告:在运行中Windows在系统中执行以下命令将立即损坏硬盘驱动器,并可能导致其无法访问。非安全专业人员不得尝试或非法使用,并承担后果。请在虚拟机中测试此命令,如果硬盘驱动器损坏,仍可恢复到早期快照。
目前还不清楚为什么访问此类文件的属性会损坏硬盘驱动器。Jonas注册表项认为辅助诊断问题无效。
Jonas然后有一个惊人的发现,可以“零点击”利用这个漏洞。只要做一个。Windows快速文件将图标指向上述地址。如果用户浏览文件所在的文件夹,即使不点击打开文件,也会触发漏洞。Windows资源管理器将尝试在后台访问文件中预制图标路径,以触发损坏的漏洞NTFS硬盘驱动器。
根据网络安全社区的消息来源,业界多年前就知道了这样严重的漏洞,并向其报告Microsoft,但还没有修复。
根据开发人员Oliver L最新反馈,完全修复Windows 10 20H2 VM中进行的测试发现,cmd执行漏洞使用命令没有弹出硬盘故障窗口。唯一的影响是,磁盘检查将在下次手动重启操作系统后触发,但没有数据损坏。
【本文是51CTO专栏作者“安全牛”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看作者更好的文章