windows10使用的NTFS文件系統(tǒng)的實現(xiàn)中存在一個以前未修補的漏洞。通過此漏洞，攻擊者有可能破壞windows10使用的NTFS卷的內容。在NTFS卷上適當?shù)刂谱魑募杂|發(fā)該漏洞?，F(xiàn)在，安全研究人員已經在無數(shù)次指出這一點。

我從2021年1月9日起在Twitter上取消了@jonasLyk的最新披露-請參閱以下推文。訪問特制文件夾足以利用此漏洞。整個過程可以遠程觸發(fā)(例如，下載精心制作的快捷方式文件或ZIP存檔)。

onas L.已在2020年8月和2020年10月公開披露了此NTFS漏洞，沒有任何反應。因此，他聯(lián)系了Bleeping Computer，后者對其進行了測試，然后在本文中進行了披露。

短命令就足夠了

對于利用此漏洞的攻擊者，單行命令足以損壞NTFS格式的硬盤驅動器。可以通過將精心制作的文件(甚至是遠程文件)放置在受影響的驅動器上的文件夾中來完成此操作。讀取此文件后，Windows會提示用戶重新啟動計算機以修復損壞的磁盤條目。

Bleeping Computer在此處顯示了一個命令作為此類觸發(fā)器的示例，但警告不要在系統(tǒng)上對其進行測試。這是因為NTFS驅動器可能無法讀取并隨后丟失。在windows10命令提示符下運行命令后，錯誤：“文件或目錄已損壞且無法讀取。” 立即顯示。為了進行測試，應該使用虛擬機。

顯示的命令訪問NTFS卷的$ 130屬性。NTFS文件系統(tǒng)使用此$ I30屬性來維護屬于目錄的所有文件/子目錄的索引。

目前，尚不清楚為什么訪問此屬性會損壞驅動器。喬納斯•L(Jonas L.)在對Bleeping Computer講話時說：“我不知道為什么訪問該屬性會破壞NTFS卷。要弄清楚這一點將需要大量工作，因為在損壞時應觸發(fā)BSOD的reg密鑰不起作用。因此，我將其留給擁有源代碼的人員。

將準備好的文件(例如.lnk文件)放在NTFS驅動器上(不需要打開數(shù)據(jù))就足以觸發(fā)錯誤。也可以考慮準備ZIP歸檔文件，這些文件在解壓縮時會觸發(fā)錯誤。驅動器損壞后，windows10在事件日志中生成錯誤，指出相應驅動器的主文件表(MFT)包含損壞的記錄。

windows10版本1803中存在錯誤

正如Jonas L.對Bleeping Computer所說，他能夠利用windows10版本1803中的錯誤。據(jù)說該錯誤在當前版本20H2之前仍然可以利用。Bleeping Computer在文章中寫道，來自安全研究界的消息稱，此類嚴重漏洞已被知曉多年。該錯誤早些時候已報告給Microsoft，但未修復。

Bleeping Computer已與Microsoft核對，以了解他們是否已經知道該錯誤以及是否會修復該錯誤。回應是：“微軟已承諾要對其客戶進行調查，以報告所報告的安全問題，我們將盡快為受影響的設備提供更新。”本文來源于win10系統(tǒng)下載官網(wǎng)，轉載請注明來源與出處。