ปัญหานี้ยังอยู่ในความจริงที่ว่าข้อผิดพลาดสามารถกระตุ้นข้อผิดพลาดได้ทุกระดับการเข้าถึง - แม้แต่ "แขก" ผลที่ตามมาอาจแตกต่างกันมากที่สุด ในการทดลองส่วนใหญ่เพื่อศึกษาช่องโหว่นี้ระบบปฏิบัติการจะรีบูตอย่างปลอดภัยแก้ไขข้อผิดพลาดบนดิสก์แล้วยังคงทำงานตามปกติ แต่ตามที่ไม่ทราบสาเหตุในบางกรณีหลังจากรีบูตระบบจะทำให้เกิดข้อผิดพลาดที่สำคัญและปฏิเสธที่จะเริ่มทำงาน มันไม่ใช่เรื่องง่ายที่จะแก้ไขสถานการณ์นี้ - คุณต้องเรียกคืน MFT เป็นวิธีการของบุคคลที่สาม
ทำไมสิ่งนี้เกิดขึ้น - มันเป็นเรื่องยากที่จะพูดผู้เชี่ยวชาญเท่านั้นที่ระบุว่านี่เป็นการตอบสนองที่ผิดปกติของไดรเวอร์ระบบ NTFS ไปยังอักขระบางตัวบนเส้นทางไปยังไฟล์ Microsoft ในทางกลับกันไม่รายงานรายละเอียดสัญญาเพียงเพื่อแก้ไขปัญหาโดยเร็วที่สุด ในช่องโหว่ใหม่ของ Windows 10 ผู้เชี่ยวชาญด้านความปลอดภัยข้อมูลแรกภายใต้นามแฝง Jonas L. ได้รับการยืนยันจาก Will Dormann (Will Dormann) นักวิเคราะห์ของศูนย์ประสานงานของกลุ่มการตอบสนองของกลุ่มคอมพิวเตอร์ (CERT / CC) ตาม Carnegie มหาวิทยาลัยเมลลอน
มันทำงานอย่างไร
ในการกระตุ้นข้อบกพร่องให้เพียงพอที่จะเรียกไฟล์ที่อยู่ที่มีแอตทริบิวต์บริการ $ i30 และอักขระเฉพาะหลายตัวหลังจากนั้น ไฟล์เองในพื้นที่ดิสก์ที่ระบุอาจไม่มีอยู่ปัญหาเกิดขึ้นเมื่อไดรเวอร์ดำเนินการอุทธรณ์เฉพาะนี้ แอตทริบิวต์ $ i30 เปลี่ยนเส้นทางการร้องขอไปยังดัชนี NTFS ซึ่งมีข้อมูลในตำแหน่งของไฟล์ทั้งหมดบนดิสก์รวมถึงคุณสมบัติของพวกเขา พารามิเตอร์เฉพาะหลังจากแอตทริบิวต์ที่ทำให้เกิดข้อผิดพลาดเราจะไม่ระบุด้วยเหตุผลด้านความปลอดภัยหลังจากการอุทธรณ์ดังกล่าวเกิดขึ้นระบบปฏิบัติการ (OS) รายงานทันทีว่าดิสก์กระตุ้นข้อผิดพลาดที่ต้องแก้ไขอย่างเร่งด่วน กระบวนการนี้เกี่ยวข้องกับการรีบูตและเปิดตัวของยูทิลิตี้ตรวจสอบดิสก์ Chkdsk แม้จะมีความจริงที่ว่าในกรณีส่วนใหญ่ระบบไฟล์สามารถกู้คืนและ Windows ยังคงทำงานได้อย่างต่อเนื่องการทดลองกับข้อผิดพลาดนี้ในคอมพิวเตอร์หลักไม่แนะนำให้เร่งด่วน
Dormann และ Jonas L ได้รับความคิดเห็นมากมายจากเพื่อนร่วมงานและผู้ที่ชื่นชอบง่าย ๆ - พวกเขาตรวจสอบช่องโหว่บนเครื่องเสมือนหรืออุปกรณ์ราคาไม่แพง ผลลัพธ์แตกต่างกันมากที่น่ากลัวที่สุดรวมถึงการสูญเสียความสามารถของ OS อย่างเต็มที่ในการบูตแม้ในเซฟโหมด การกู้คืนข้อมูลในกรณีนี้กลายเป็นงานที่ค่อนข้างยาก
อันตรายอะไร
สำหรับ "การทริกเกอร์" ข้อผิดพลาดไม่จำเป็นต้องมีการกระทำของผู้ใช้โดยเจตนา - ระบบเองจะดำเนินการตามภูมิหลังของไฟล์เป็นประจำ ตัวอย่างเช่นผู้โจมตีสามารถสร้างเอกสารที่มีการระบุภาพบุคคลที่สามแทนไอคอนปกติ ที่อยู่มีที่อยู่ของรูปภาพซึ่งรวมถึงการรวมกันของอักขระที่มีปัญหา แม้แต่การเก็บเอกสารดังกล่าวไว้ในคอมพิวเตอร์ของเขา แต่เหยื่อจะสร้างความเสียหายให้กับระบบไฟล์ของเขา ความจริงก็คือในขณะที่การบำรุงรักษาเอกสารระบบปฏิบัติการจะเห็นบ่งชี้ของไอคอนที่ไม่ได้มาตรฐานและลองใช้เพื่อขอ
นี่เป็นเพียงตัวอย่างหนึ่งของการใช้ช่องโหว่ที่ระบุของไดรเวอร์ NTFS ในความเป็นจริงทริกเกอร์สามารถซ่อนอยู่ที่ใดก็ได้: ในคลังเก็บเอกสารสำนักงานรูปภาพการอ้างอิงไปยังการเก็บรักษาดิสก์ที่ถูกลบและแม้กระทั่งบนเว็บไซต์ ไม่มีข้อควรระวังที่เฉพาะเจาะจง ผู้เชี่ยวชาญแนะนำให้ไม่เปิดไฟล์จากแหล่งที่ไม่รู้จักและทำสำเนาสำรองของข้อมูลสำคัญทั้งหมดเป็นประจำในไดรฟ์ภายนอก
ตอนแรก Dormann พบว่าข้อผิดพลาดถูกสังเกตเฉพาะในรุ่นของ Windows 10 ที่หมายเลข 1803 และผู้ที่ออกมาหลังจากนั้น ดูเหมือนว่าคุณสามารถผ่อนคลายอย่างน้อยกับผู้ที่ไม่คุ้นเคยกับการอัปเดตเป็นประจำ อะไรคือวิธีการจริงยิ่งแย่ลงเรื่อย ๆ และกรณีนี้เป็นเพียงข้อยกเว้นของกฎ อย่างไรก็ตามหลังจากผ่านไประยะหนึ่งเพื่อนร่วมงานจะสามารถทำซ้ำความเสียหายที่คล้ายกันกับระบบไฟล์บนระบบปฏิบัติการใด ๆ โดยใช้ NTFS เริ่มต้น แม้ใน Windows XP ช่องโหว่จะปิดกี่โมงที่จะพูดยากมันยังคงหวังว่าปัญหาจะไม่เกี่ยวข้องกับสถาปัตยกรรมทั้งหมดของผลิตภัณฑ์ที่นิยมมากที่สุด Microsoft
ที่มา: วิทยาศาสตร์เปลือยกาย