Microsoft Windows 10中一個(gè)未修補的(de)零日漏洞允許攻擊者使用(yòng)單行命令破壞NTFS格式的(de)硬盤。攻擊者可(kě)以将這(zhè)條命令可(kě)以隐藏在Windows快(kuài)捷方式文件、ZIP存檔、批處理(lǐ)文件或其他(tā)各種矢量中,以觸發硬盤驅動器錯誤,瞬間破壞文件系統索引。
被嚴重低估的(de)NTFS漏洞
2020年8月(yuè)和(hé)10月(yuè),Infosec研究人(rén)員(yuán)Jonas L兩次提醒微軟注意影(yǐng)響Windows 10的(de)一個(gè)尚未修複的(de)NTFS漏洞。(下(xià)圖)
攻擊者隻需通(tōng)過單行命令就可(kě)觸發此漏洞,立即破壞NTFS格式的(de)硬盤,Windows會提示用(yòng)戶重新啓動計算(suàn)機以修複損壞的(de)磁盤記錄。重新啓動後,Windows檢查磁盤實用(yòng)程序将運行并開始修複硬盤驅動器。
研究人(rén)員(yuán)發現,該漏洞自Windows 10 build 1803(Windows 10 April 2018 Update)開始被引入,并在最新版本中繼續有效。(編者:1803之前的(de)版本不受此漏洞影(yǐng)響,最新版本修補後症狀減輕)
更糟糕的(de)是,該漏洞可(kě)由Windows 10系統上的(de)标準和(hé)低特權用(yòng)戶賬戶觸發。
警告:在運行中Windows系統中執行以下(xià)命令将立刻損壞硬盤驅動器,并可(kě)能導緻其無法訪問。非安全專業人(rén)士切勿嘗試或作爲非法用(yòng)途,後果自負。安全專業人(rén)士請在虛拟機中測試此命令,如果硬盤驅動器損壞,仍可(kě)以将其還(hái)原到早期快(kuài)照(zhào)。
目前尚不清楚爲什(shén)麽訪問此類文件屬性會損壞硬盤驅動器,Jonas認爲輔助診斷問題的(de)注冊表項沒起作用(yòng)。
Jonas随後又有了(le)一個(gè)驚人(rén)的(de)發現,可(kě)以“零點擊”利用(yòng)該漏洞。隻需制作一個(gè)Windows快(kuài)捷方式文件将圖标指向上述地址,用(yòng)戶如果浏覽文件所在文件夾,即使并未點擊打開文件也(yě)會觸發該漏洞。因爲Windows資源管理(lǐ)器會嘗試在後台訪問文件内部的(de)預制圖标路徑,從而觸發漏洞利用(yòng)損壞NTFS硬盤驅動器。
根據網絡安全社區(qū)的(de)消息來(lái)源,多(duō)年前業界就已知曉此類嚴重漏洞,并已報告給Microsoft,但至今仍未修複。
根據開發人(rén)員(yuán)Oliver L的(de)最新反饋,在完全修補的(de)Windows 10 20H2 VM中進行的(de)測試發現,cmd執行漏洞利用(yòng)命令沒有彈出硬盤故障窗(chuāng)口,唯一的(de)影(yǐng)響是,在下(xià)一次手動重啓操作系統後,會觸發磁盤檢查,但沒有數據損壞。
【本文是51CTO專欄作者“安全牛”的(de)原創文章(zhāng),轉載請通(tōng)過安全牛(微信公衆号id:gooann-sectv)獲取授權】