Проблемът е и в това, че бъг може да провокира бъг с всяко ниво на достъп - дори и "гост". Последствията могат да бъдат най-различни. В повечето експерименти, за да изучават тази уязвимост, операционната система е безопасно рестартирана, коригира грешките на диска и след това продължава да работи нормално. Но според неизвестни причини, в някои случаи, след рестартиране, системата издава критична грешка и отказва да започне да работи. Не е лесно да коригирате тази ситуация - трябва да възстановите MFT на средства от трети страни.
Защо това се случва - трудно е да се каже, че експертите са определили само, че това е анормален отговор на системата на системата NTFS към определени символи по пътя към файла. Microsoft, от своя страна, не съобщава за подробности, само обещани да решават проблема възможно най-бързо. На новата уязвимост на Windows 10, първият специалист по информационна сигурност под псевдонима Jonas L. е потвърден от Will Dormann (Will Dormann), анализатор на координационния център на групата за реагиране на компютърната група (CERT / CC) на базата на Carnegie Университет Мелън.
Как работи
За да провокирате достатъчно бъг, за да се обадите на файла, адресът съдържа атрибута $ i30 и няколко специфични знака след нея. Самата файл в определената зона на диска може да не съществува, проблемът се случва, когато водачът обработва тази специфична обжалване. Attribute $ i30 пренасочва заявката до индекса на NTFS, където има данни за местоположението на всички файлове на диска, както и техните свойства. Специфични параметри след атрибут, който причинява грешки, ние няма да уточняваме поради съображения за сигурност.След като възникне такава обжалване, операционната система (OS) незабавно съобщава, че дискът предизвиква грешки, които трябва да бъдат спешно коригирани. Процесът включва рестартиране и стартиране на полезната програма за проверка на диска Chkdsk. Въпреки факта, че в повечето случаи файловата система може успешно да възстанови и прозорците продължават да работят нормално, спешно не се препоръчва експериментиране с този бъг на основния компютър.
Dormann и Jonas L получиха много коментари от колеги и прости ентусиасти - те провериха уязвимостта на виртуални машини или достъпни устройства. Резултатите бяха много различни, най-страшните включваха пълната загуба на способността на операционната система да се стартира дори в безопасен режим. Възстановяването на данни в този случай се превръща в доста трудна задача.
Каква е опасността
За "задействане", грешката не изисква умишлени действия на потребителите - самата система редовно извършва фонови обжалвания към файловете. Например, нападателят може да създаде документ, в който е посочен изображението на трета страна вместо редовна икона. Адресът съдържа адреса на картината, който включва проблемна комбинация от символи. Дори просто запазване на такъв документ на компютъра си, жертвата уврежда файловата си система. Факт е, че докато поддържането на документа на операционната система ще види индикация за нестандартна икона и да опитате да го поискате.
Това е само един пример за използване на идентифицираната уязвимост на драйвера NTFS. Всъщност, неговият спусък може да бъде скрит навсякъде: в архиви, офис документи, изображения, препратки към изтрити складове за дискове и дори на уебсайтове. Няма специфични предпазни мерки. Експертите също така съветват да не отварят файлове от неизвестни източници и редовно да правят резервни копия на всички важни данни на външно устройство.
Първоначално Dormann установи, че грешката се наблюдава само във версията на Windows 10 на номер 1803 и тези, които излязоха след. Изглежда, че можете да се отпуснете поне за тези, които не се използват редовно. Това, което между другото всъщност е още по-лошо и този случай е само изключение от правилата. Въпреки това, след известно време колегите ще са успели да възпроизведат подобни щети на файловата система на всяка операционна система, използвайки NTFS по подразбиране. Дори и на Windows XP. Колко време е уязвимостта, за да се каже трудно, остава да се надяваме, че проблемът не е свързан с цялата архитектура на най-популярния продукт Microsoft.
Източник: гола наука