Door een kwetsbaarheid in Windows 10 kunnen kwaadwillenden het schijfvolume van een ntfs geformatteerde harde schijf of ssd beschadigen met slechts één opdrachtregel.

Het blijkt dat deze ‘opdracht’ verborgen kan worden in zoiets simpels als een Windows-snelkoppelingsbestand, een zip-archief, batchbestand of andere veelvoorkomende bestanden. Het uitvoeren van de opdrachtregel beschadigt het schijfvolume direct. De gebruiker wordt daardoor gedwongen de computer opnieuw op te starten om het beschadigde volume te repareren.

nbsp

Ontdekker

De bug werd ontdekt door infosec onderzoeker Jonas L. Het beveiligingslek kwam aan het licht rond de Windows 10 april 2018-update en is tot op de dag van vandaag niet opgelost. Het is zelfs mogelijk de kwetsbaarheid te misbruiken door een gebruiker met weinig rechten. De volume van een drive kan beschadigd worden door simpelweg toegang te krijgen tot het $i30 NTFS attribuut in een map. Onderstaande opdrachtregel is een voorbeeldopdracht die het bestandssysteem van een schijf kan beschadigen. 

Probeer dit dus niet zelf uit!  U bent gewaarschuwd.

nbsp

Deze kwetsbaarheid is behoorlijk ernstig omdat deze kan worden verborgen in een willekeurig bestand en uw harde schijf onmiddellijk kan beschadigen. Erger nog, het kan ook worden geactiveerd wanneer de Windows Verkenner simpelweg een beschadigde snelkoppeling weergeeft die de kwaadaardige opdracht in een map verbergt. 

“Om dit te doen, zou Windows Verkenner proberen toegang te krijgen tot het vervaardigde pictogram pad in het bestand op de achtergrond, waardoor de NTFS harde schijf beschadigd raakt”,

legt het rapport uit.

nbsp

Het Windows ntfs-index kenmerk, of $i30-tekenreeks, is gekoppeld aan een directory die een lijst met bestanden en submappen van een map bevat. In sommige gevallen kan de ntfs-index ook verwijderde bestanden en mappen bevatten, wat handig kan zijn om het probleemrapport naar Microsoft te versturen. Het is onduidelijk waarom toegang tot dit kenmerk de schijf beschadigd, en Jonas geeft aan dat een registersleutel die zou helpen bij het diagnosticeren van het probleem niet werkt. Na het uitvoeren van de opdracht in de opdrachtprompt van Windows 10 en op Enter te hebben gedrukt, ziet de gebruiker een foutbericht met de melding:

“Het bestand of de map is beschadigd en kan niet worden gelezen.”

Windows 10 zal onmiddellijk beginnen met het weergeven van meldingen waarin de gebruiker wordt gevraagd zijn pc opnieuw op te starten en het beschadigde schijfvolume te herstellen. Bij het opnieuw opstarten wordt schijfcontrole uitgevoerd om het volume te repareren.

Microsoft heeft deze kritieke kwetsbaarheid eindelijk erkend en belooft een oplossing in een toekomstige update. “We zijn ons bewust van dit probleem en zullen in een toekomstige versie een update verstrekken”, aldus een Microsoft-woordvoerder. “Het gebruik van deze techniek is afhankelijk van sociaal engineering en zoals altijd moedigen we onze klanten aan om goede computergewoonten online te beoefenen, inclusief voorzichtigheid bij het openen van onbekende bestanden of het accepteren van bestandsoverdrachten.”