Спецпроекты

В Windows 10 можно одной командой вывести из строя диск ПК

ПО Безопасность Техника

Эксперты обнаружили, что обращение к индекс-атрибуту NTFS при определенных условиях вызывает сбой в целостности данных каталога или целого диска. Это открывает массу возможностей для атаки. Патча нет.

Диски под угрозой

Серьезная уязвимость в Windows 10 позволяет минимальными усилиями выводить из строя диски, отформатированные под NTFS, и патча к ней еще не существует.

Как выяснили эксперты издания Bleeping Computer, достаточно одной команды, чтобы нарушить целостность данных на таких дисках. Эту команду, в свою очередь, можно запрятать в файле ярлыка Windows, ZIP-архиве, файле .bat и т. д.

Уязвимость была выявлена еще в августе 2020 г. Эксперт, известный как Jonas L, обращал на нее внимание еще несколько раз — в октябре 2020 г. и в начале января 2021 г. По его мнению, угроза от этого бага недооценена. В теории жесткий диск может быть выведен из строя вплоть до полной недоступности данных и невозможности их восстановления.

Проблема в следующем: у любого каталога системы NTFS, включая корневой, есть атрибут $i30, который обозначает все файлы и субкаталоги в нем содержащиеся. Иногда через него можно получить доступ и к удаленным каталогам и папкам, чем пользуются киберкриминалисты.

windows600.jpg
Строчки кода достаточно, чтобы нарушить целостность данных диска под NTFS

Однако, как выяснилось, команда вида cdc:\:$i30;#bitmap, например, может вызывать сбой в целостности данных на дисках NTFS, и никто не знает, почему. Сам Jonas L утверждает, что ключ в системном реестре, который позволил бы выяснить источник проблемы, не работает.

«Я понятия не имею, почему он разрушает целостность данных, и выяснить будет нелегко, поскольку ключ реестра, который должен активировать “синий экран” в подобных случаях, не срабатывает. Так что пусть этим занимаются те, у кого есть доступ к исходному коду», — отметил эксперт.

Включайте chkdsk

Сразу после запуска описанной команды пользователю Windows 10 выводится сообщение о том, что данный файл или папка неисправны и не поддаются чтению. После чего пользователю выводится предложение произвести перезапуск системы, которая автоматически попытается исправить проблему с помощью утилиты chkdsk.

Jonas L обнаружил также, что если создать файл-ссылку (.url) и в поле расположения для его иконки поставить вышеуказанную команду, уязвимость сработает даже если пользователь не пытался открыть этот файл вовсе. Ему достаточно будет зайти в указанный в команде каталог (будь то диск C или что-либо еще), и проводник Windows автоматически попытается показать иконку, а следовательно и перейти по указанной ссылке. А это означает запуск вредоносной команды и выведение диска или каталога из строя.

Злоумышленники могут запрятать такой файл в любой другой, например, архив с некоторым количеством легитимных файлов. Количество подобных векторов атаки может быть очень большим. Особенно неприятно, что запустить эту команду может пользователь с минимальными правами.

Впрочем, эксперименты Bleeping Computer показали, что при восстановлении поврежденного таким образом каталога системные утилиты «зачищают» вредоносный файл .url от некорректной ссылки, устраняя тем самым проблему. Т. е. такая атака сработает один раз.

В Microsoft журналистам сообщили, что изучают вопрос и представят информацию, как только это станет возможным.

«Существует множество вариантов эксплуатации данной уязвимости, при которой она может создать гораздо больше проблем, чем просто разовый сбой жесткого диска, — говорит Алексей Водясов, технический директор компании SEC Consult Services. — Например, комбинация из нескольких уязвимостей, в результате которой файл с такой командой оказывается на уровне гипервизора под Windows, может вызвать крупномасштабный сбой во всей системе виртуализации, а это чревато огромными убытками. Очень странно, что руководители Microsoft до сих пор не обращали внимания на эту уязвимости; угроза от нее совершенно очевидна».