Door een kwetsbaarheid in Windows 10 kunnen kwaad willende het schijfvolume van een ntfs geformatteerde harde schijf of ssd beschadigen met slechts één opdrachtregel.

Het blijkt dat deze ‘opdracht‘ verborgen kan worden in zoiets simpels als een Windows-snelkoppelingsbestand. Of in een zipbestand, batchbestand of andere veelvoorkomende bestanden. Het uitvoeren van de opdrachtregel beschadigt het schijfvolume direct. De gebruiker wordt daardoor gedwongen de computer opnieuw op te starten om het beschadigde volume te repareren.

Ontdekker

De fout werd ontdekt door infosec onderzoeker Jonas L. Het beveiligingslek kwam aan het licht rond de Windows 10 april 2018 update. Het is tot op de dag van vandaag niet opgelost. Ook is het mogelijk de kwetsbaarheid te misbruiken door een gebruiker met weinig rechten. De volume van een drive kan beschadigd worden door simpelweg toegang te krijgen tot het $i30 NTFS attribuut in een map. Onderstaande opdrachtregel is een voorbeeldopdracht die het bestandssysteem van een schijf kan beschadigen. 

Probeer dit dus niet zelf uit!  U bent gewaarschuwd!

Kwetsbaarheid

Deze kwetsbaarheid is behoorlijk ernstig omdat deze kan worden verborgen in een willekeurig bestand en uw harde schijf onmiddellijk kan beschadigen. Erger nog, het kan ook worden geactiveerd wanneer de Windows Verkenner simpelweg een beschadigde snelkoppeling weergeeft die de kwaadaardige opdracht in een map verbergt. 

Om dit te doen, zou Windows Verkenner proberen toegang te krijgen tot het vervaardigde pictogram pad in het bestand op de achtergrond, waardoor de NTFS harde schijf beschadigd raakt.

Zo legt het rapport uit.

Het Windows ntfs-index kenmerk, of $i30-tekenreeks, is gekoppeld aan een directory die een lijst met bestanden en submappen van een map bevat. In sommige gevallen kan de ntfs-index ook verwijderde bestanden en mappen bevatten. Wat handig kan zijn om het probleemrapport naar Microsoft te versturen.

Het is onduidelijk waarom toegang tot dit kenmerk de schijf beschadigd. Jonas geeft aan dat een registersleutel die zou helpen bij het diagnosticeren van het probleem niet werkt. Na het uitvoeren van de opdracht in de opdrachtprompt van Windows 10, ziet de gebruiker een foutbericht met de melding:

Het bestand of de map is beschadigd en kan niet worden gelezen.

Windows 10 zal onmiddellijk beginnen met het weergeven van meldingen waarin de gebruiker wordt gevraagd zijn pc opnieuw op te starten. Vervolgens wordt het beschadigde schijfvolume herstelt. Bij het opnieuw opstarten wordt schijf controle uitgevoerd om het volume te repareren.

Reactie Microsoft

Microsoft heeft deze kritieke kwetsbaarheid eindelijk erkend. Ze belooft een oplossing in een toekomstige update. “We zijn ons bewust van dit probleem. We zullen in een toekomstige versie een update verstrekken“, aldus een Microsoft-woordvoerder.

Het gebruik van deze techniek is afhankelijk van sociaal engineering en zoals altijd moedigen we onze klanten aan om goede computergewoonten online te beoefenen, inclusief voorzichtigheid bij het openen van onbekende bestanden of het accepteren van bestandsoverdrachten.