Bug in Windows 10 beschadigt schijfvolumes van een NTFS-schijf

33 reacties

Dankzij een kwetsbaarheid in Windows 10 kunnen kwaadwillenden het schijfvolume van een ntfs-geformatteerde harde schijf of ssd beschadigen met slechts één opdrachtregel. Het blijkt dat deze 'opdracht' verborgen kan worden in zoiets simpels als een Windows-snelkoppelingsbestand, een zip-archief, batchbestand of andere veelvoorkomende bestanden. Het uitvoeren van de opdrachtregel beschadigt het schijfvolume direct. De gebruiker wordt daardoor gedwongen de computer opnieuw op te starten om het beschadigde volume te repareren.

De bug werd ontdekt door infosec-onderzoeker Jonas L. Het beveiligingslek kwam aan het licht rond de Windows 10 april 2018-update en is tot op de dag van vandaag niet opgelost. Het is zelfs mogelijk de kwetsbaarheid te misbruiken door een gebruiker met weinig rechten. De volume van een drive kan beschadigd worden door simpelweg toegang te krijgen tot het $i30 NTFS-attribuut in een map. Onderstaande opdrachtregel is een voorbeeldopdracht die het bestandssysteem van een schijf kan beschadigen. Probeer dit dus niet zelf uit! Jullie zijn gewaarschuwd.

Het Windows ntfs-indexkenmerk, of $i30-tekenreeks, is gekoppeld aan een directory die een lijst met bestanden en submappen van een map bevat. In sommige gevallen kan de ntfs-index ook verwijderde bestanden en mappen bevatten, wat handig kan zijn om het probleemrapport naar Microsoft te versturen. Het is onduidelijk waarom toegang tot dit kenmerk de schijf beschadigd, en Jonas geeft aan dat een registersleutel die zou helpen bij het diagnosticeren van het probleem niet werkt. Na het uitvoeren van de opdracht in de opdrachtprompt van Windows 10 en op Enter te hebben gedrukt, ziet de gebruiker een foutbericht met de melding "Het bestand of de map is beschadigd en kan niet worden gelezen." Windows 10 zal onmiddellijk beginnen met het weergeven van meldingen waarin de gebruiker wordt gevraagd zijn pc opnieuw op te starten en het beschadigde schijfvolume te herstellen. Bij het opnieuw opstarten wordt schijfcontrole uitgevoerd om het volume te repareren.

Volgens een woordvoerder van Microsoft wordt er zo snel mogelijk gewerkt aan oplossing.

Bronnen: itsolutek, Securitynewspaper

« Vorig bericht Volgend bericht »
0
*