windows10使用的NTFS文件系統(tǒng)的實(shí)現(xiàn)中存在一個(gè)以前未修補(bǔ)的漏洞。通過此漏洞，攻擊者有可能破壞windows10使用的NTFS卷的內(nèi)容。在NTFS卷上適當(dāng)?shù)刂谱魑募杂|發(fā)該漏洞?，F(xiàn)在，安全研究人員已經(jīng)在無數(shù)次指出這一點(diǎn)。

我從2021年1月9日起在Twitter上取消了@jonasLyk的最新披露-請(qǐng)參閱以下推文。訪問特制文件夾足以利用此漏洞。整個(gè)過程可以遠(yuǎn)程觸發(fā)(例如，下載精心制作的快捷方式文件或ZIP存檔)。

onas L.已在2020年8月和2020年10月公開披露了此NTFS漏洞，沒有任何反應(yīng)。因此，他聯(lián)系了Bleeping Computer，后者對(duì)其進(jìn)行了測試，然后在本文中進(jìn)行了披露。

短命令就足夠了

對(duì)于利用此漏洞的攻擊者，單行命令足以損壞NTFS格式的硬盤驅(qū)動(dòng)器。可以通過將精心制作的文件(甚至是遠(yuǎn)程文件)放置在受影響的驅(qū)動(dòng)器上的文件夾中來完成此操作。讀取此文件后，Windows會(huì)提示用戶重新啟動(dòng)計(jì)算機(jī)以修復(fù)損壞的磁盤條目。

Bleeping Computer在此處顯示了一個(gè)命令作為此類觸發(fā)器的示例，但警告不要在系統(tǒng)上對(duì)其進(jìn)行測試。這是因?yàn)镹TFS驅(qū)動(dòng)器可能無法讀取并隨后丟失。在windows10命令提示符下運(yùn)行命令后，錯(cuò)誤：“文件或目錄已損壞且無法讀取。” 立即顯示。為了進(jìn)行測試，應(yīng)該使用虛擬機(jī)。

顯示的命令訪問NTFS卷的$ 130屬性。NTFS文件系統(tǒng)使用此$ I30屬性來維護(hù)屬于目錄的所有文件/子目錄的索引。

目前，尚不清楚為什么訪問此屬性會(huì)損壞驅(qū)動(dòng)器。喬納斯•L(Jonas L.)在對(duì)Bleeping Computer講話時(shí)說：“我不知道為什么訪問該屬性會(huì)破壞NTFS卷。要弄清楚這一點(diǎn)將需要大量工作，因?yàn)樵趽p壞時(shí)應(yīng)觸發(fā)BSOD的reg密鑰不起作用。因此，我將其留給擁有源代碼的人員。

將準(zhǔn)備好的文件(例如.lnk文件)放在NTFS驅(qū)動(dòng)器上(不需要打開數(shù)據(jù))就足以觸發(fā)錯(cuò)誤。也可以考慮準(zhǔn)備ZIP歸檔文件，這些文件在解壓縮時(shí)會(huì)觸發(fā)錯(cuò)誤。驅(qū)動(dòng)器損壞后，windows10在事件日志中生成錯(cuò)誤，指出相應(yīng)驅(qū)動(dòng)器的主文件表(MFT)包含損壞的記錄。

windows10版本1803中存在錯(cuò)誤

正如Jonas L.對(duì)Bleeping Computer所說，他能夠利用windows10版本1803中的錯(cuò)誤。據(jù)說該錯(cuò)誤在當(dāng)前版本20H2之前仍然可以利用。Bleeping Computer在文章中寫道，來自安全研究界的消息稱，此類嚴(yán)重漏洞已被知曉多年。該錯(cuò)誤早些時(shí)候已報(bào)告給Microsoft，但未修復(fù)。

Bleeping Computer已與Microsoft核對(duì)，以了解他們是否已經(jīng)知道該錯(cuò)誤以及是否會(huì)修復(fù)該錯(cuò)誤?；貞?yīng)是：“微軟已承諾要對(duì)其客戶進(jìn)行調(diào)查，以報(bào)告所報(bào)告的安全問題，我們將盡快為受影響的設(shè)備提供更新。”本文來源于win10系統(tǒng)下載官網(wǎng)，轉(zhuǎn)載請(qǐng)注明來源與出處。