Uno zero-day senza patch in Microsoft Windows 10 consente agli attaccanti di danneggiare un disco rigido formattato NTFS con un comando di una riga. Gli esperti di Bleeping Computer, che hanno analizzato le caratteristiche del bug e le possibili applicazioni in un attacco informatico, lanciano l’allarme e spiegano che questo one-liner può essere consegnato nascosto all’interno di un file di collegamento di Windows, un archivio ZIP, file batch o vari altri vettori per attivare errori del disco rigido che corrompono immediatamente l’indice del file system.
Il ricercatore di Infosec, Jonas L, che aveva richiamato l’attenzione già tra agosto e ottobre 2020, questa settimana ha richiamato la stessa su una vulnerabilità NTFS che ha avuto un impatto su Windows 10 che non è stata risolta.
Quando viene sfruttata, questa vulnerabilità può essere attivata da un comando a riga singola per danneggiare istantaneamente un disco rigido formattato NTFS, con Windows che richiede all’utente di riavviare il computer per riparare i record del disco danneggiati.
Secondo il ricercatore, il difetto è diventato sfruttabile a partire da Windows 10 build 1803, l’aggiornamento di Windows 10 di aprile 2018, e continua a funzionare nell’ultima versione.
L’aspetto più grave è che la vulnerabilità può essere innescata da account utente standard e con privilegi bassi sui sistemi Windows 10. Una volta eseguito il comando nel prompt dei comandi di Windows 10 e aver premuto Invio, l’utente visualizzerà il messaggio di errore “Il file o la directory è danneggiato e illeggibile”.
Windows 10 inizierà immediatamente a visualizzare le notifiche che richiedono all’utente di riavviare il PC e riparare il volume del disco danneggiato. Al riavvio, l’utilità di controllo del disco di Windows viene eseguita e avvia la riparazione del disco rigido.
Dopo che le unità sono state danneggiate, Windows 10 genererà errori nel registro eventi che indicano che la tabella file master (MFT) per l’unità specifica contiene un record danneggiato.
Nei test condotti da BleepingComputer, gli autori delle minacce possono utilizzare il comando in modo dannoso in vari exploit PoC.
Una scoperta sorprendente condivisa da Jonas con noi è stata che un file di collegamento di Windows (.url) con la posizione dell’icona impostata su C: \: $ i30: $ bitmap avrebbe attivato la vulnerabilità anche se l’utente non avesse mai aperto il file!
Non appena questo file di collegamento viene scaricato su un PC Windows 10 e l’utente visualizza la cartella in cui è presente, Windows Explorer tenterà di visualizzare l’icona del file accedendo al percorso dell’icona predisposto all’interno del file in background, corrompendo così il disco rigido NTFS nel processo.
Successivamente, le notifiche “restart to repair hard drive” appariranno sul PC Windows senza che l’utente abbia aperto o fatto doppio clic sul file di collegamento.
La consegna del payload tramite archivi ZIP, file HTML e vari mezzi alla vittima può avvenire in vari modi.
Nonostante la politica della stessa origine sulla maggior parte dei browser limiterebbe tali attacchi da un server remoto (ad esempio, un file di riferimento del documento HTML remoto: /// C: /: $ i30: $ bitmap ), esistono mezzi creativi per aggirare restrizioni.
Il ricercatore afferma che altri vettori potrebbero essere utilizzati per attivare questo exploit da remoto, ad esempio tramite pagine HTML predisposte che incorporano risorse da condivisioni di rete o unità condivise che hanno riferimenti al percorso offensivo $ i30.
Questo problema NTFS influisce anche sulle versioni precedenti di Windows XP in base alle nuove informazioni. BleepingComputer ha contattato e segnalato il bug a Microsoft.