Problemet är också i det faktum att en bugg kan provocera en bugg med någon nivå av åtkomst - även "gäst". Konsekvenserna kan vara de mest annorlunda. I de flesta experiment som studerar denna sårbarhet, startas operativsystemet säkert, korrigerar fel på skivan och fortsätter sedan att fungera normalt. Men enligt okända orsaker, i vissa fall, efter omstart, utfärdar systemet ett kritiskt fel och vägrar att börja springa. Det är inte lätt att korrigera denna situation - du måste återställa MFT till tredje part.
Varför det här händer - det är svårt att säga att experterna bara bestämmer att detta är ett onormalt svar på NTFS-systemdrivrutinen till vissa tecken på vägen till filen. Microsoft rapporterar i sin tur inte detaljer, bara lovade att lösa problemet så snabbt som möjligt. På den nya sårbarheten i Windows 10, den första informationssäkerhetsspecialisten under Pseudonym Jonas L. det bekräftades av Will Dormann (Will Dormann), en analytiker av koordinationscentret för datorgruppens svargrupp (CERT / CC) baserat på Carnegie Mellon University.
Hur det fungerar
För att provocera felet nog att ringa filen, vars adress innehåller $ I30-serviceattributet och flera specifika tecken efter det. Filen i det angivna diskområdet kan inte existera, problemet uppstår när föraren behandlar denna specifika överklagande. Attribut $ i30 omdirigerar begäran till NTFS-indexet, där det finns data om platsen för alla filer på disken, liksom deras egenskaper. Specifika parametrar efter ett attribut som orsakar fel, kommer vi inte att ange av säkerhetsskäl.Efter det att en sådan överklagande inträffar rapporterar operativsystemet (OS) omedelbart att disken väcker fel som måste korrigeras snabbt. Processen innebär en omstart och lansering av Chkdsk Disk Check Utility. Trots det faktum att i de flesta fall kan filsystemet framgångsrikt återställa och Windows fortsätter att fungera normalt, rekommenderas experimentera med det här felet på huvuddatorn inte.
Dormann och Jonas L fick många kommentarer från kollegor och enkla entusiaster - de kontrollerade sårbarheten på virtuella maskiner eller prisvärda enheter. Resultaten var väldigt olika, den mest skrämmande inkluderade den fullständiga förlusten av OS-förmågan att starta även i säkert läge. Dataåtervinning i detta fall blir en ganska svår uppgift.
Vad är faran
För "utlösande" kräver inte buggen avsiktliga användaråtgärder - systemet själv utför regelbundet bakgrundsplaceringar till filer. Till exempel kan en angripare skapa ett dokument där den tredje parts bilden anges istället för en vanlig ikon. Adressen innehåller adressen till bilden, som innehåller en problemlig kombination av tecken. Även bara hålla ett sådant dokument på sin dator, skadar offret sitt filsystem. Faktum är att samtidigt som OS-dokumentet upprätthålls kommer att se en indikation på en icke-standardikonen och försök att begära det.
Detta är bara ett exempel på att använda den identifierade sårbarheten hos NTFS-drivrutinen. Faktum är att dess utlösare kan döljas någonstans: i arkiv, kontorsdokument, bilder, referenser till raderade skivor och även på webbplatser. Inga specifika försiktighetsåtgärder. Experter rekommenderar bara att du inte öppnar filer från okända källor och regelbundet gör säkerhetskopior av alla viktiga data på en extern enhet.
Först fann Dormann att buggen endast observeras i versionen av Windows 10 vid nummer 1803 och de som kom ut efter. Det verkar som om du kan koppla av åtminstone till dem som inte används för att uppdatera regelbundet. Vad, förresten, är faktiskt ännu värre och det här ärendet är bara ett undantag från reglerna. Men efter en tid kunde kollegor reproducera liknande skador på filsystemet på något operativsystem med hjälp av standard NTFS. Även på Windows XP. Vilken tid är sårbarheten att vara stängd för att säga svårt, det är fortfarande att hoppas att problemet inte är relaterat till hela arkitekturen hos den mest populära produkten Microsoft.
Källa: Naken vetenskap