Windows 10 NTFS文件系统存在严重漏洞 几个字符串就会破坏索引系统

据外媒报道日前研究人员在Windows 10中发现某个严重漏洞,该漏洞主要位于 NTFS 文件系统且非常容易触发。

攻击者只需要使用几个特定的字符串诱导用户下载即可,仅仅只需要下载都不需要用户打开就可以破坏磁盘记录。

经测试该漏洞影响Windows 10 v1803及以上所有版本,但研究人员将漏洞提交给微软后到现在微软还没有修复。

警告:以下内容请不要尝试在系统中直接进行测试,如测试请使用虚拟机防止磁盘记录破坏后系统循环蓝屏死机。

Windows 10 NTFS文件系统存在严重漏洞 几个字符串就会破坏索引系统

神秘的$i30字符串:

研究发现Windows NTFS文件系统的索引系统属性包含$i30字符串 ,  该字符串实际上是与目录关联的NTFS属性。

在某些情况下即便文件被删除而索引系统依然包括已删除的文件或文件夹,直到这些文件或文件夹被彻底的删除。

因此这种索引系统在进行某些事件响应例如攻击溯源或者调查取证时非常有用,但为什么会出现这次的严重问题?

InfoSec的研究人员Jonas L发现如果访问此属性就会引起磁盘损坏,经过调查后研究人员认为可能与注册表有关。

当该属性被加载后系统会立即弹出文件或目录已损坏且不可读提示,提示用户重启系统以便系统尝试对磁盘修复。

而修复过程可能会持续几个小时甚至更久,当然有时候修复无法完成会导致出现循环蓝屏死机直到用户重装系统。

如果运气好的话系统自动完成修复,则Windows 事件管理器会看到有关特定驱动器的主文件表MFT的错误记录。

下面的演示命令为图片,如果你想测试的话请在虚拟机里打开命令提示符进行测试,请不要直接在宿主机上运行!

利用简单可被用来进行破坏性攻击:

测试表明特制的破坏性字符串利用起来非常容易 ,攻击者可以通过 ZIP、HTML、URL、批处理或快捷方式触发。

例如将包含该字符串的文件放在ZIP 压缩文件中,则只要用户打开该压缩文件无需解压就会导致磁盘记录被破坏。

也可以利用快捷方式包含此字符串,当用户查看该快捷方式时资源管理器会自动进行预载,也同样可以引起损坏。

而且利用此漏洞并不需要管理员级别的权限,只需普通用户权限即可触发,测试表明标准和低权限账户亦可使用。

因此攻击者或某些恶作剧者如果利用此漏洞的话,只需要诱导用户下载特制的文件即可非常简单轻松的触发漏洞。

该漏洞很久没有得到修复:

根据安全社区的消息来源,该漏洞已经存在很久且被人发现但微软尚未修复,没人知道微软为什么会忽略该漏洞。

Jonas L也在去年8月份将漏洞通报给微软但也没得到修复,外媒昨天重新联系微软时微软才表示将发布安全更新。

不过微软没有说明具体会在什么时候发布安全更新,而在没有修复漏洞前建议用户不要下载任何来历不明的文件。

本文来源 BleepingCom,由 山外的鸭子哥 整理编辑,其版权均为 BleepingCom 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
扫码关注蓝点网微信公众号

评论:

13 条评论,访客:13 条,站长:0 条
  1. ???
    ???发布于: 
    Firefox 85.0 Firefox 85.0 Windows 10 64位版 Windows 10 64位版

    能用火绒自定义规则防护吗

    • 山外的鸭子哥
      山外的鸭子哥发布于: 
      Google Chrome 88.0.4324.104 Google Chrome 88.0.4324.104 Windows 10 64位版 Windows 10 64位版

      火绒好像已经支持防护这个了 我不确定 我问问火绒

  2. Mrs. Nobody
    Mrs. Nobody发布于: 
    Chromium Edge 87.0.664.75 Chromium Edge 87.0.664.75 Windows 10 64位版 Windows 10 64位版

    是不是因为这个漏洞,微软本月更新时承诺要合并新镜像出来,却在最后跳票的卡???!!!

    • 山外的鸭子哥
      山外的鸭子哥发布于: 
      Google Chrome 87.0.4280.141 Google Chrome 87.0.4280.141 Windows 10 64位版 Windows 10 64位版

      不好说 反正到现在还没合并镜像

  3. bilibili
    bilibili发布于: 
    Google Chrome 70.0.3538.110 Google Chrome 70.0.3538.110 Windows 10 64位版 Windows 10 64位版

    17763.1294 测试重启后修复一遍磁盘后正常进入系统

    • 山外的鸭子哥
      山外的鸭子哥发布于: 
      Google Chrome 88.0.4324.96 Google Chrome 88.0.4324.96 Windows 10 64位版 Windows 10 64位版

      额 竟然被自动放到垃圾箱了 才看到这条评论

      • 朱玛
        朱玛发布于: 
        Safari 5.0 Safari 5.0 Mac OS X 10.6.3 Mac OS X 10.6.3

        啊这,我说怎么那天评论了看不到呢。。

  4. Shade
    Shade发布于: 
    Google Chrome 87.0.4280.141 Google Chrome 87.0.4280.141 Windows 10 64位版 Windows 10 64位版

    Winserver 2019,跳过开机磁盘检查仍然能启动。不过貌似有点卡。

  5. Jay
    Jay发布于: 
    Google Chrome 78.0.3904.108 Google Chrome 78.0.3904.108 Windows 10 64位版 Windows 10 64位版

    刚刚自己试了下,然后就。。。杯具了

  6. s
    s发布于: 
    Google Chrome 86.0.4240.198 Google Chrome 86.0.4240.198 Windows 10 64位版 Windows 10 64位版

    @鸭子哥

    提示用户重新系统以便系统尝试对磁盘修复。
    重新系统
    重新系统
    重新系统

  7.  
     发布于: 
    Firefox 82.0 Firefox 82.0 NetBSD NetBSD

    以前谷歌披露漏洞是好事,早就应该好好治治微软这种漏洞拖许久的不修复的懒病了

发表评论