Problemet er også i det faktum at en feil kan provosere en feil med ethvert nivå av tilgang - til og med "gjest". Konsekvensene kan være de mest annerledes. I de fleste eksperimenter for å studere dette sikkerhetsproblemet, styres operativsystemet trygt på nytt, korrigerer feil på disken, og fortsetter deretter å fungere normalt. Men ifølge grunnen av grunner, i noen tilfeller, etter omstarting, utsteder systemet en kritisk feil og nekter å begynne å løpe. Det er ikke lett å rette opp denne situasjonen - du må gjenopprette MFT til tredjepartsmidler.
Hvorfor dette skjer - det er vanskelig å si at ekspertene bare bestemte seg for at dette er en unormal respons på NTFS-systemdriveren til bestemte tegn på banen til filen. Microsoft rapporterer i sin tur ikke detaljer, bare lovet å løse problemet så raskt som mulig. På den nye sårbarheten til Windows 10, ble den første informasjonssikkerhetsspesialisten under Pseudonymet Jonas L. Det ble bekreftet av Will Dormann (Vil Dormann), en analytiker av koordineringssenteret for Computer Group Response Group (Cert / CC) basert på Carnegie Mellon University.
Hvordan det fungerer
For å provosere feilen nok til å ringe filen, hvilken adresse som inneholder $ I30-tjenestenattributtet og flere spesifikke tegn etter det. Filen i seg selv i det angitte diskområdet kan ikke eksistere, problemet oppstår når føreren behandler denne spesifikke appellen. Attributt $ i30 Omdirigerer forespørselen til NTFS-indeksen, der det er data på stedet for alle filer på disken, så vel som deres egenskaper. Spesifikke parametere Etter et attributt som forårsaker feil, vil vi ikke spesifisere av sikkerhetshensyn.Etter at en slik klage oppstår, rapporterer operativsystemet (OS) umiddelbart at disken oppstod feil som må korrigeres raskt. Prosessen innebærer en omstart og lansering av CHKDSK-diskkontrollverktøyet. Til tross for det faktum at filsystemet i de fleste tilfeller kan gjenopprette, og Windows fortsetter å jobbe normalt, blir det ikke anbefalt å eksperimentere med denne feilen på hoveddatamaskinen.
Dormann og Jonas L mottok mange kommentarer fra kollegaer og enkle entusiaster - de sjekket sikkerhetsproblemet på virtuelle maskiner eller rimelige enheter. Resultatene var svært forskjellige, den mest skremmende inkluderte hele tapet av OS-muligheten til å starte opp selv i sikker modus. Datautvinning i dette tilfellet blir til en ganske vanskelig oppgave.
Hva er faren
For "Triggering", krever feilen ikke forsettlige brukerhandlinger - selve systemet utfører regelmessig bakgrunn til filer. For eksempel kan en angriper opprette et dokument der tredjepartsbildet er angitt i stedet for et vanlig ikon. Adressen inneholder adressen til bildet, som inkluderer en problemabel kombinasjon av tegn. Selv bare å holde et slikt dokument på datamaskinen sin, ødelegger offeret sitt filsystem. Faktum er at mens du opprettholder OS-dokumentet, vil du se en indikasjon på et ikke-standardikon og prøve det for å be om det.
Dette er bare et eksempel på å bruke det identifiserte sårbarheten til NTFS-driveren. Faktisk kan utløseren være skjult hvor som helst: i arkiver, kontorsdokumenter, bilder, referanser til slettede plater og til og med på nettsteder. Ingen spesifikke forholdsregler. Eksperter anbefaler bare å ikke åpne filer fra ukjente kilder og regelmessig lage sikkerhetskopier av alle viktige data på en ekstern stasjon.
Først fant DORMANN at feilen bare observeres i versjonen av Windows 10 på nummer 1803 og de som kom ut etter. Det ser ut til at du kan slappe av i det minste til de som ikke er vant til å oppdatere regelmessig. Hva, forresten, er faktisk enda verre, og dette tilfellet er bare et unntak fra reglene. Men etter en tid vil kollegaene kunne reprodusere lignende skade på filsystemet på et hvilket som helst os ved hjelp av standard NTFS. Selv på Windows XP. Når det er sårbarheten, vil bli stengt for å si vanskelig, det er fortsatt å håpe at problemet ikke er relatert til hele arkitekturen til det mest populære produktet Microsoft.
Kilde: Naked Science