Праблема таксама і ў тым, што справакаваць баг можа карыстач з любым узроўнем доступу - нават «госць». Наступствы могуць быць самымі рознымі. У большасці эксперыментаў па вывучэнні гэтай уразлівасці аперацыйная сістэма шчасна перазагружаецца, выпраўляе памылкі на дыску, і затым працягвае нармальна працаваць. Але, па невядомых пакуль прычынах, у некаторых выпадках пасля перазагрузкі сістэма выдае крытычную памылку і адмаўляецца далей запускацца. Выправіць гэтую сітуацыю няпроста - неабходна іншымі сродкамі аднаўляць MFT.
Чаму так адбываецца - сказаць цяжка, эксперты толькі вызначылі, што гэта анамальная рэакцыя сістэмнага драйвера NTFS на пэўныя сімвалы ў шляху да файла. Кампанія Microsoft, у сваю чаргу, падрабязнасцяў не паведамляе, толькі паабяцала вырашыць праблему максімальна хутка. Пра новую уразлівасці Windows 10 першым паведаміў спецыяліст па інфармацыйнай бяспецы пад псеўданімам Jonas L. Яго знаходку пацвердзіў Уіл Дорманн (Will Dormann), аналітык Каардынацыйнага цэнтра Кампутарнай групы рэагавання на надзвычайныя сітуацыі (CERT / CC), якая базуецца ва ўніверсітэце Карнегі-Меллона.
Як гэта працуе
Каб справакаваць баг дастаткова выклікаць зварот да файла, адрас якога змяшчае службовы атрыбут $ i30 і некалькі пэўных сімвалаў пасля яго. Самога файла ў названай галіне дыска можа і не існаваць, праблема ўзнікае, калі драйвер апрацоўвае той спецыфічны зварот. Атрыбут $ i30 пераадрасоўвае запыт у індэкс NTFS, дзе знаходзяцца дадзеныя аб размяшчэнні ўсіх файлаў на дыску, а таксама іх ўласцівасці. Канкрэтныя параметры пасля атрыбуту, якія выклікаюць памылкі, па меркаваннях бяспекі мы паказваць не будзем.Пасля таго, як падобны зварот адбываецца, аперацыйная сістэма (АС) неадкладна паведамляе, што на дыску паўсталі памылкі, якія неабходна тэрмінова выправіць. Працэс мае на ўвазе перазагрузку і запуск штатнай утыліты праверкі дыска chkdsk. Нягледзячы на тое, што ў большасці выпадкаў файлавую сістэму ўдаецца паспяхова аднавіць і Windows працягвае нармальна працаваць, праводзіць эксперыменты з гэтым багам на асноўным кампутары настойліва не рэкамендуецца.
Дорманн і Jonas L атрымалі мноства каментароў ад калег і простых энтузіястаў - тыя праверылі ўразлівасць на віртуальных машынах або даступных прыладах. Вынікі моцна адрозніваліся, самыя палохалыя ўключалі ў сябе поўную страту здольнасці АС загрузіцца нават у бяспечным рэжыме. Аднаўленне дадзеных у такім выпадку ператвараецца ў даволі няпростую задачу.
У чым небяспека
Для «спрацоўвання» бага не патрабуецца наўмысных дзеянняў карыстальніка - сістэма сама рэгулярна выконвае фонавыя звароту да файлаў. Напрыклад, зламыснік можа стварыць дакумент, у якім замест штатнай абразкі паказана іншае малюнак. У ўказанні ўтрымліваецца адрас карцінкі, які ўключае праблемную камбінацыю знакаў. Нават проста захоўваючы такі дакумент сабе на кампутар, ахвяра пашкоджвае яго файлавую сістэму. Справа ў тым, што пры захаванні дакумента АС ўбачыць ўказанне на нестандартную абразок і паспрабуе яе запытаць.
Гэта толькі адзін прыклад выкарыстання выяўленай уразлівасці драйвера NTFS. Фактычна, яе трыгер можа быць схаваны дзе заўгодна: у архівах, офісных дакументах, малюнках, спасылках на выдаленыя дыскавыя сховішчы і нават на вэб-сайтах. Якіх-небудзь спецыфічных мер засцярогі няма. Спецыялісты толькі раяць не адчыняць файлы з невядомых крыніц і рэгулярна рабіць рэзервовыя копіі ўсіх важных дадзеных на знешні назапашвальнік.
Спачатку Дорманн усталяваў, што баг назіраецца толькі ў версіі Windows 10 пад нумарам 1803 і тых, што выйшлі пасля. Здавалася б, можна расслабіцца хаця б тым, хто не прывык рэгулярна абнаўляцца. Што, дарэчы кажучы, на самай справе яшчэ горш і дадзены выпадак толькі выключэнне з правілаў. Аднак праз некаторы час калегі Уілла змаглі прайграць аналагічнае пашкоджанне файлавай сістэмы на любой АС, якая выкарыстоўвае NTFS па змаўчанні. Нават на Windows XP. У якія тэрміны ўразлівасць будзе зачынена сказаць складана, застаецца спадзявацца, што праблема не звязаная з усёй архітэктурай найпапулярнага прадукта Microsoft.
Крыніца: Naked Science