待更新占位符暂时不要删除,待更新占位符暂时不要删除,待更新占位符暂时不要删除,待更新占位符暂时不要。
据外媒报道日前研究人员在Windows 10中发现某个严重漏洞,该漏洞主要位于 NTFS 文件系统且非常容易触发。
攻击者只需要使用几个特定的字符串诱导用户下载即可,仅仅只需要下载都不需要用户打开就可以破坏磁盘记录。
经测试该漏洞影响Windows 10 v1803及以上所有版本,但研究人员将漏洞提交给微软后到现在微软还没有修复。
警告:以下内容请不要尝试在系统中直接进行测试,如测试请使用虚拟机防止磁盘记录破坏后系统循环蓝屏死机。
神秘的$i30字符串:
研究发现Windows NTFS文件系统的索引系统属性包含$i30字符串 , 该字符串实际上是与目录关联的NTFS属性。
在某些情况下即便文件被删除而索引系统依然包括已删除的文件或文件夹,直到这些文件或文件夹被彻底的删除。
因此这种索引系统在进行某些事件响应例如攻击溯源或者调查取证时非常有用,但为什么会出现这次的严重问题?
InfoSec的研究人员Jonas L发现如果访问此属性就会引起磁盘损坏,经过调查后研究人员认为可能与注册表有关。
当该属性被加载后系统会立即弹出文件或目录已损坏且不可读提示,提示用户重新系统以便系统尝试对磁盘修复。
而修复过程可能会持续几个小时甚至更久,当然有时候修复无法完成会导致出现循环蓝屏死机直到用户重装系统。
如果运气好的话系统自动完成修复,则Windows 事件管理器会看到有关特定驱动器的主文件表MFT的错误记录。
下面的演示命令为图片,如果你想测试的话请在虚拟机里打开命令提示符进行测试,请不要直接在宿主机上运行!
利用简单可被用来进行破坏性攻击:
测试表明特制的破坏性字符串利用起来非常容易 ,攻击者可以通过 ZIP、HTML、URL、批处理或快捷方式触发。
例如将包含该字符串的文件放在ZIP 压缩文件中,则只要用户打开该压缩文件无需解压就会导致磁盘记录被破坏。
也可以利用快捷方式包含此字符串,当用户查看该快捷方式时资源管理器会自动进行预载,也同样可以引起损坏。
而且利用此漏洞并不需要管理员级别的权限,只需普通用户权限即可触发,测试表明标准和低权限账户亦可使用。
因此攻击者或某些恶作剧者如果利用此漏洞的话,只需要诱导用户下载特制的文件即可非常简单轻松的触发漏洞。
该漏洞很久没有得到修复:
根据安全社区的消息来源,该漏洞已经存在很久且被人发现但微软尚未修复,没人知道微软为什么会忽略该漏洞。
Jonas L也在去年8月份将漏洞通报给微软但也没得到修复,外媒昨天重新联系微软时微软才表示将发布安全更新。
不过微软没有说明具体会在什么时候发布安全更新,而在没有修复漏洞前建议用户不要下载任何来历不明的文件。
推荐