El investigador de seguridad Jonas L ha descubierto una vulnerabilidad en el sistema de archivos NTFS de Windows que permite corromper un disco con un simple comando de una sola línea.
Ese comando puede esconderse dentro de un archivo de acceso directo de Windows, un archivo ZIP, o varios otros vectores. En el primer caso, el bug es tan extraño que se puede explotar la vulnerabilidad incluso si nunca abre el archivo, solo basta con que el usuario mire la carpeta en la que se encuentra el acceso directo.
La vulnerabilidad puede ser activada por cualquier usuario sin privilegios elevados en Windows 10
NTFS VULNERABILITY CRITICALITY UNDERESTIMATED
— Jonas L (@jonasLyk) January 9, 2021
-
There is a specially nasty vulnerability in NTFS right now.
Triggerable by opening special crafted name in any folder anywhere.'
The vulnerability will instant pop up complaining about yuor harddrive is corrupted when path is opened pic.twitter.com/E0YqHQ369N
Esta vulnerabilidad puede ser activada por cualquier tipo de usuario, no es necesario tener privilegios de administrador, ni credenciales especiales, ni permisos de escritura. Solo basta con abrir un archivo, dentro de cualquier carpeta del sistema, que tenga un nombre escrito especialmente con el comando mencionado.
Cuando esto pasa, Windows empieza a mostrar mensajes indicando que los datos del disco se han dañado y pedirá un reinicio para repararlo. El investigador explicó que este fallo apreció con Windows 10 1803, es decir, la actualización de abril de 2018, y está presente hasta en la más reciente versión del sistema.
El comando en cuestión, que advertimos no debe ser probado en un sistema activo, solo en máquinas virtuales a menos que quieras que tu disco se corrompa y posiblemente te deje sin acceso a sus datos, sirve para intentar acceder al archivo $i30 (el índice de atributos del sistema de archivos NTFS de Windows) en una carpeta de cierta manera.
Si por ejemplo, se usa el comando cd c:\:$i30:$bitmap
como la ubicación del icono de un archivo de acceso directo (.url), esto activará la vulnerabilidad incluso si el usuario no abre el archivo, solo basta con que abra la carpeta donde está el archivo, ya que para mostrar el icono en cuestión el Explorador de Windows intentará acceder a la ruta de archivo que ha sido establecida como ese comando.
El investigador no tiene claro el por qué acceder a ese atributo corrompe el disco, puesto que la clave del Registro de Windows que ayudaría a diagnosticar el problema, no funciona. Una vez que el disco se corrompe, Windows 10 genera errores en el Registro de eventos que dicen que la Tabla Maestra de Archivos (MFT) contiene un registro dañado.
Jonas también explica que la vulnerabilidad puede ejecutarse de forma remota si es activada por cualquier tipo de servicio que permita abrir archivos con nombres específicos. Se pueden insertar en código HTML, en carpetas compartidas, o dentro de archivos ZIP que tengan muchos más archivos legítimos para confundir al usuario.
Microsoft dice estar investigando cualquier problema de seguridad reportado y ofrecerán actualizaciones sobre equipos comprometidos tan pronto como sea posible.
Vía | BleepingComputer
Ver 12 comentarios