Masalahnya juga pada kenyataan bahwa bug dapat memprovokasi bug dengan tingkat akses apa pun - bahkan "tamu". Konsekuensinya mungkin yang paling berbeda. Dalam sebagian besar percobaan untuk mempelajari kerentanan ini, sistem operasi telah di-boot ulang, mengoreksi kesalahan pada disk, dan kemudian terus bekerja secara normal. Tetapi, menurut alasan yang tidak diketahui, dalam beberapa kasus, setelah reboot, sistem mengeluarkan kesalahan kritis dan menolak untuk mulai berjalan. Tidak mudah untuk memperbaiki situasi ini - Anda perlu mengembalikan MFT ke sarana pihak ketiga.
Mengapa ini terjadi - sulit untuk mengatakan, para ahli hanya menentukan bahwa ini adalah respons abnormal dari driver sistem NTFS ke karakter tertentu pada path ke file. Microsoft, pada gilirannya, tidak melaporkan detail, hanya berjanji untuk menyelesaikan masalah secepat mungkin. Pada kerentanan baru Windows 10, spesialis keamanan informasi pertama di bawah nama samaran Jonas L. Itu dikonfirmasi oleh Will Dormann (Will Dormann), seorang analis dari pusat koordinasi Grup Respons Kelompok Komputer (CERT / CC) berdasarkan Carnegie Universitas Mellon.
Bagaimana itu bekerja
Untuk memprovokasi bug cukup untuk memanggil file, alamat yang berisi atribut layanan $ I30 dan beberapa karakter tertentu setelahnya. File itu sendiri di area disk yang ditentukan mungkin tidak ada, masalah terjadi ketika pengemudi memproses daya tarik spesifik ini. Atribut $ i30 Redirects Permintaan ke indeks NTFS, di mana ada data pada lokasi semua file pada disk, serta propertinya. Parameter spesifik setelah atribut yang menyebabkan kesalahan, kami tidak akan menentukan karena alasan keamanan.Setelah banding seperti itu terjadi, sistem operasi (OS) segera melaporkan bahwa disk membangkitkan kesalahan yang perlu dikoreksi secara mendesak. Proses ini melibatkan reboot dan peluncuran utilitas CHECK CHECK CHKDSK. Terlepas dari kenyataan bahwa dalam kebanyakan kasus, sistem file dapat berhasil memulihkan dan Windows terus bekerja secara normal, bereksperimen dengan bug ini di komputer utama sangat disarankan.
Dormann dan Jonas L menerima banyak komentar dari kolega dan penggemar sederhana - mereka memeriksa kerentanan pada mesin virtual atau perangkat yang terjangkau. Hasilnya sangat berbeda, yang paling menakutkan termasuk kehilangan kemampuan OS untuk mem-boot bahkan dalam mode aman. Pemulihan data dalam kasus ini berubah menjadi tugas yang cukup sulit.
Apa bahayanya
Untuk "memicu", bug tidak memerlukan tindakan pengguna yang disengaja - sistem itu sendiri secara teratur melakukan latar belakang banding ke file. Misalnya, penyerang dapat membuat dokumen di mana gambar pihak ketiga diindikasikan alih-alih ikon reguler. Alamat berisi alamat gambar, yang mencakup kombinasi karakter yang dapat digunakan. Bahkan hanya menyimpan dokumen seperti itu di komputernya, korban merusak sistem file-nya. Faktanya adalah bahwa sementara memelihara dokumen OS akan melihat indikasi ikon non-standar dan mencobanya untuk memintanya.
Ini hanyalah salah satu contoh menggunakan kerentanan yang diidentifikasi dari driver NTFS. Bahkan, pemicunya dapat disembunyikan di mana saja: dalam arsip, dokumen kantor, gambar, referensi untuk penyimpanan disk yang dihapus dan bahkan di situs web. Tidak ada tindakan pencegahan khusus. Para ahli hanya menyarankan untuk tidak membuka file dari sumber yang tidak dikenal dan secara teratur membuat salinan cadangan semua data penting pada drive eksternal.
Pada awalnya, Dormann menemukan bahwa bug hanya diamati dalam versi Windows 10 di nomor 1803 dan yang keluar setelahnya. Tampaknya Anda dapat bersantai setidaknya untuk mereka yang tidak terbiasa memperbarui secara teratur. Apa, omong-omong, sebenarnya lebih buruk dan kasus ini hanya pengecualian terhadap aturan. Namun, setelah beberapa waktu, akankah koleganya dapat mereproduksi kerusakan serupa pada sistem file pada OS apa pun menggunakan NTF default. Bahkan pada Windows XP. Jam berapa kerentanan akan tertutup untuk mengatakan sulit, tetap berharap masalahnya tidak terkait dengan seluruh arsitektur produk paling populer Microsoft.
Sumber: Ilmu telanjang