Problém je tiež v tom, že chyba môže vyvolať chybu s akoukoľvek úrovňou prístupu - dokonca aj "hosťom". Dôsledky môžu byť najviac odlišné. Vo väčšine experimentov na štúdium tejto zraniteľnosti sa operačný systém bezpečne reštartuje, opravuje chyby na disku a potom pokračuje v práci normálne. Ale podľa neznámych dôvodov, v niektorých prípadoch, po reštarte, systém vydáva kritickú chybu a odmieta spustiť spustenie. Túto situáciu nie je ľahké - musíte obnoviť MFT na prostriedky tretej strany.
Prečo sa to deje - je ťažké povedať, experti len zistili, že ide o abnormálnu odozvu ovládača systému NTFS na určité znaky na ceste k súboru. Microsoft, zase, nezobrazuje podrobnosti, len sľúbil, že problém vyrieši čo najrýchlejšie. O novej zraniteľnosti Windows 10, prvá špecialista na bezpečnosť informácií pod pseudonymom Jonas L. Potvrdil to spoločnosť Will Dorman (Will Dormann), analytik koordinačného centra skupiny počítačovej skupiny (CERT / CC) na základe Carnegie Mellon University.
Ako to funguje
Ak chcete vyvolať chybu dosť na zavolanie súboru, ktorej adresa obsahuje atribút služby $ i30 a niekoľko špecifických znakov po ňom. Samotný súbor v zadanom diskovom priestore nemusí existovať, problém sa vyskytuje, keď vodič spracováva toto špecifické odvolanie. Atribút $ i30 presmeruje požiadavku na index NTFS, kde sú údaje o umiestnení všetkých súborov na disku, ako aj ich vlastnosti. Špecifické parametre po atribúte, ktoré spôsobujú chyby, nebudeme z bezpečnostných dôvodov špecifikovať.Po takomto odvolanie sa operačný systém (OS) okamžite uvádza, že disk vzbudil chyby, ktoré je potrebné urýchlene opraviť. Proces zahŕňa reštartovanie a spustenie utility Chckdsk disku. Napriek tomu, že vo väčšine prípadov môže súborový systém úspešne obnoviť a systém Windows naďalej pracuje normálne, experimentovanie s touto chybou na hlavnom počítači je naliehavo neodporúča.
Dormann a Jonas L dostal mnoho pripomienok od kolegov a jednoduchých nadšencov - kontrolovali zraniteľnosť na virtuálnych strojoch alebo cenovo dostupných zariadeniach. Výsledky boli veľmi odlišné, najviac desivé zahŕňalo úplnú stratu schopnosti operačného systému spustiť aj v núdzovom režime. Zotavenie údajov v tomto prípade sa zmení na pomerne náročnú úlohu.
Čo je nebezpečenstvo
Pre "spúšťanie", chyba nevyžaduje úmyselné užívateľské akcie - systém sám pravidelne vykonáva podklady na spojenie. Napríklad útočník môže vytvoriť dokument, v ktorom je obraz tretej strany označený namiesto pravidelnej ikony. Adresa obsahuje adresu obrázka, ktorá obsahuje charakteristickú kombináciu znakov. Dokonca len držať takýto dokument na svojom počítači, obeť poškodzuje jeho súborový systém. Faktom je, že pri zachovaní dokumentu OS sa zobrazí indikácia neštandardnej ikony a skúste ju požadovať.
Toto je len jeden príklad použitia identifikovanej zraniteľnosti ovládača NTFS. V skutočnosti, jeho spúšť môže byť skrytý kdekoľvek: v archívoch, kancelárskych dokumentoch, obrázkoch, odkazoch na vymazané zásobníky diskov a dokonca aj na webových stránkach. Žiadne osobitné opatrenia. Odborníci odporúčajú, aby otvorili súbory z neznámych zdrojov a pravidelne vytvorili záložné kópie všetkých dôležitých údajov na externom disku.
Spočiatku, Dormann zistil, že chyba je pozorovaná len vo verzii Windows 10 na čísle 1803 a tie, ktoré vystúpili po. Zdá sa, že by ste mohli relaxovať aspoň tých, ktorí sa nepoužívajú na pravidelné aktualizácie. Akým spôsobom je v skutočnosti ešte horší a tento prípad je len výnimkou pravidiel. Avšak, po určitom čase, budú kolegovia schopní reprodukovať podobné poškodenie systému súborov na ľubovoľnom operačnom systéme pomocou predvolených NTFS. Dokonca aj v systéme Windows XP. Kedy bude zraniteľnosť zatvorená, že je ťažké povedať, že je ťažké dúfať, že problém nie je spojený s celú architektúru najobľúbenejšieho produktu Microsoft.
Zdroj: Nahá veda