Уязвимость появилась в версии Windows 10 (сборка 1803) и продолжает существовать в последней версии.
Уязвимость в Microsoft Windows 10 позволяет злоумышленникам повредить жесткий диск, отформатированный под NTFS, с помощью однострочной команды. Однострочный файл может быть скрыт внутри ярлыка Windows, ZIP-архива, пакетных файлов или различных других векторов, чтобы вызвать ошибки в работе жесткого диска, мгновенно повреждающие индекс файловой системы.
Исследователь информационной безопасности, использующий псевдоним Jonas L, обратил внимание на неисправленную уязвимость в NTFS, затрагивающую Windows 10. По словам эксперта, уязвимость появилась в версии Windows 10 (сборка 1803) и продолжает существовать в последней версии. Кроме того, эксплуатацию проблемы может осуществить обычный пользователь с низкими привилегиями на системах Windows 10.
Диск может быть поврежден, даже если просто попытаться получить доступ к атрибуту NTFS «$i30» в папке определенным образом. Атрибут индекса Windows NTFS (строка «$i30») связан с каталогами и содержит список файлов и подпапок каталога. В некоторых случаях индекс NTFS может также включать удаленные файлы и папки, что удобно при проведении реагирования на инциденты или криминалистической экспертизы.
Остается неизвестным, почему доступ к этому атрибуту повреждает диск, однако ключ реестра, который помог бы диагностировать проблему, не работает.
После запуска команды в командной строке Windows 10 и нажатия Enter пользователь увидит сообщение об ошибке «Файл или каталог повреждены и нечитаемы». Windows 10 немедленно начнет отображать уведомления, предлагающие пользователю перезагрузить компьютер и восстановить поврежденный том диска. При перезагрузке запускается служебная программа проверки диска Windows и начинает восстановление жесткого диска.
После того, как диски будут повреждены, Windows 10 будет генерировать ошибки в журнале событий, указывающие, что главная таблица файлов (MFT) для конкретного диска содержит поврежденную запись.
Эксперт также отметил, что созданный файл ярлыка Windows (.url) с расположением значка, установленным на «C: \: $ i30: $ bitmap» проэксплуатирует уязвимость, даже если пользователь никогда не открывал файл. Как только этот файл ярлыка загружается на ПК с Windows 10 и пользователь просматривает папку, в которой он находится, проводник Windows попытается отобразить значок файла. Для этого проводник Windows будет пытаться получить доступ к созданному пути значка внутри файла в фоновом режиме, тем самым повреждая жесткий диск NTFS в процессе.