Информационная Безопасность. Аудит Безопасности


Нажмите CTRL-D чтобы добавить нас в закладки
HackZone.RU - Однострочная команда в Windows 10 может повредить жесткий диск с NTFS
Войти / Регистрация / Участники
Определение даты выпуска iPhone по серийному номеру
-
Поиск по сайту
Форумы



Реклама

Поиск ТОП Добавить публикацию

Однострочная команда в Windows 10 может повредить жесткий диск с NTFS

18.01.2021

Издание Bleeping Computer сообщило, что неисправленный баг нулевого дня в Windows 10 позволяет повредить жесткий диск с файловой системой NTFS с помощью однострочной команды. Эксплоит для этой проблемы можно спрятать внутри файла ярлыка, ZIP-архива, batch-файлов и так далее, и такие файлы вызовут моментальное повреждение структуры файловой системы.

Проблему еще в прошлом году обнаружил ИБ-исследователь, известный как Джонас Л (Jonas L). Он пытался привлечь внимание к багу еще в августе и октябре 2020 года, однако добился успеха лишь на этой неделе.

Эксплуатация уязвимости крайне проста: однострочная команда мгновенно повреждает диск с файловой системой NTFS, после чего Windows предлагает пользователю перезагрузить компьютер, чтобы устранить повреждения. При перезагрузке запускается утилита проверки диска, которая начинает восстановление. При этом в логах можно увидеть, что Master File Table (MFT) диска содержит поврежденную запись.

Исследователь говорит, что уязвимость появилась в коде Windows 10 build 1803 и Windows 10 April 2018 Update, а актуальна по сей день. Хуже того, для ее эксплуатации достаточно стандартной, низко привилегированной учтенной записи пользователя Windows 10.

Срабатывание бага и повреждение диска можно спровоцировать, если просто попытаться получить доступ к атрибуту NTFS $i30 ­определенным образом. Ниже можно увидеть пример такой опасной однострочной команды. Предупреждаем: не проверяйте работу бага на собственной работающей системе, лучше используйте для этого виртуальную машину!

Джонас рассказывает, что атрибут $i30 связан с каталогами, он содержит список файлов и подпапок каталога, а в некоторых случаях может включать удаленные файлы и папки, что удобно для реагирования на инциденты или криминалистической экспертизы. При этом исследователь признает, что не понимает, как обращение к этому атрибуту повреждает диск, и почему ключ реестра, который мог бы помочь диагностировать проблему, не работает.

«Я понятия не имею, почему это вызывает повреждения. Нужно много работы, чтобы разобраться, почему ключ реестра, который должен отвечать за BSOD, не работает. Так что оставлю это людям с исходным кодом» — говорит эксперт.

Журналисты Bleeping Computer, проводившие собственные тесты, предупреждают, что баг может быть использован множеством способов. Например, файл ярлыка Windows (.url) , иконка которого расположена по адресу C:\:$i30:$bitmap, вызовет срабатывание уязвимости, даже если пользователь никогда не открывал данный файл.  Достаточно просмотреть папку с файлом, чтобы Windows попыталась отобразить иконку.

И хотя в большинстве браузеров такие атаки ограничивает SOP (например, не получится использовать удаленный HTML-документ, ссылающийся на file:///C:/:$i30:$bitmap), исследователи считают, что эти ограничения можно обойти или использовать другие векторы атак. К примеру, на скриншоте ниже, уязвимость сработала из-за ZIP-архива с проблемным файлом.

Сообщается, что специалисты Microsoft уже изучают данную уязвимость. А пользователи, тем временем, обнаружили, что проблеме подвержены и более старые версии Windows, включая Windows XP.

При копировании материалов ссылка на HackZone.RU обязательна

Добавить страницу в закладки

 Детали
Категория: Безопасность
Опубликовал: shellmann
Просмотров: 2320
Проголосовало через SMS: 0
  Разместить у себя на сайте
Прямая ссылка
HTML
BBCode ссылка
BBCode ссылка с текстом

 Комментарии (оставить свой комментарий можно здесь)
Только зарегистрированные пользователи могут оставлять комментарии

Зарегистрироваться *** Авторизоваться


 Последние новости и статьи  Последние сообщения с форумов
  • В darknet сливают данные 100 000 российских банковских карт
  • Вирус Escobar ворует коды двухфакторной аутентификации из Google ...
  • DeadBolt использует уязвимость, исправленную в декабре
  • Почти миллион WordPress-сайтов в опасности из-за уязвимости в поп...
  • Шифровальщик DeadBolt взломал 3600 NAS. Qnap устанавливает обновл...
  • Банковский троян Chaes устанавливает вредоносные расширения для C...
  • Взломана платформа Qubit Finance, хакеры похитили 80 млн долларов
  • Арест участников REvil взволновал других преступников
  • Обнаружена malware MoonBounce, внедряющаяся в UEFI
  • Администратор кардерского форума UniCC и участник хак-группы The ...

    Все новости... Все статьи... Прислать новость RSS
  • Разное / Предложения работы » Взлом авторизации CRM
  • Разное / Предложения работы » взломать сайт и выграть электронную жеребьёвку
  • Разное / Предложения работы » разблокировать сбер аккаунт
  • Разное / Болталка » Re: Форум жив?
  • Разное / Болталка » Форум жив?
  • Разное / Болталка » С Новым 2022 Годом!
  • Взлом и безопасность / Программы » Re: Hasp ключ для ABC-4
  • Портал / Отзывы и предложения » Предлагаем партнерство вашему форуму.
  • Разное / Предложения работы » взлом почты
  • Разное / Куплю, приму в дар » Покупка аккаунтов Uphold

    Все форумы... RSS


  • Разместить рекламу
    © HackZone Ltd. 1996-2020. Все права зарегистрированы.
    Перепечатка материалов без согласования и указания источника будет преследоваться по Закону

    О проекте | История проекта | Размещение рекламы | Обратная связь | Правила поведения на портале
    contador de visitas счетчик посещений

    #{title}

    #{text}

    x

    #{title}

    #{text}