Эксперты в области информационной безопасности выявили серьезную уязвимость в операционной системе Windows 10. Встроенный драйвер файловой системы NTFS при определенных обстоятельствах может привести к критическому повреждению главной файловой таблицы MFT. Инициировать такую реакцию можно различными способами, включая создание специально разработанной веб-страницы, а также передачу изображений, файлов и документов получателю.
Проблема заключается в том, что даже пользователь с минимальными правами, например, неавторизованный посетитель, может вызвать появление ошибки. Возможные последствия весьма разнообразны. В ходе большинства экспериментов, направленных на изучение данной уязвимости, операционная система успешно перезагружается, устраняет ошибки на диске и затем функционирует без сбоев. Однако, по причинам, которые пока не установлены, в некоторых случаях после перезагрузки система сообщает о критической ошибке и прекращает работу. Корректировка этой ситуации представляет собой сложную задачу и требует использования сторонних инструментов для восстановления MFT.
Причины этого явления установить сложно, однако специалисты зафиксировали, что оно является следствием нетипичной работы системного драйвера NTFS на определенные символы в пути к файлу. Компания Microsoft, о новой уязвимости представитель компании пока не предоставил подробностей, но заверила, что приложит все усилия для скорейшего решения проблемы Windows 10 первым сообщил специалист по информационной безопасности под псевдонимом Jonas L. Его находку подтвердил Уилл Дорманн (Will Dormann), аналитик Координационного центра Компьютерной группы реагирования на чрезвычайные ситуации ( CERT/CC), базирующейся в университете Карнеги-Меллона.
Как это работает
Для возникновения ошибки достаточно вызвать обращение к файлу, адрес которого включает служебный атрибут $i30 и несколько определенных символов после него. Самого файла в указанной области диска может и не существовать, проблема возникает, когда драйвер обрабатывает это специфическое обращение. Атрибут $i30 переадресовывает запрос в индекс NTFS, в этом разделе содержится информация о местоположении всех файлов на диске и их характеристиках. По соображениям безопасности мы не будем указывать конкретные параметры, следующие за атрибутом, которые приводят к ошибкам.
После получения такого сообщения операционная система (ОС) сразу же уведомляет о наличии ошибок на диске, требующих немедленного устранения. Для этого необходимо перезагрузить устройство и запустить стандартную программу проверки диска chkdsk. Несмотря на то что в большинстве случаев восстановление файловой системы проходит успешно и Windows продолжает нормально работать, проводить эксперименты с этим багом на основном компьютере настоятельно не рекомендуется.
Дорманн и Jonas L получили множество комментариев от коллег и простых энтузиастов — те проверили уязвимость на виртуальных машинах или доступных устройствах. Результаты сильно отличались, самые пугающие включали в себя полную потерю способности ОС загрузиться даже в безопасном режиме. Восстановление данных в таком случае превращается в довольно непростую задачу.
В чем опасность
Для активации уязвимости не нужны действия пользователя – система самостоятельно проводит регулярные фоновые проверки файлов. Например, злоумышленник может создать документ, использующий стороннее изображение вместо стандартной иконки. В этом указании содержится адрес картинки, включающий проблемную комбинацию символов. Даже при сохранении такого документа на компьютер пользователь может повредить свою файловую систему. Это происходит из-за того, что операционная система, при сохранении документа, обнаруживает указание на нестандартную иконку и пытается ее загрузить.
Обнаруженная уязвимость драйвера демонстрируется лишь на этом примере NTFS. Скрытый триггер может находиться в самых разных местах: в архивных документах, офисных файлах, изображениях, ссылках на удаленные диски и даже на веб-сайтах. Не существует особых мер предосторожности для защиты от него. Эксперты рекомендуют воздерживаться от открытия файлов из непроверенных источников и регулярно создавать резервные копии важных данных на внешние носители.
Изначально Дорманн определил, что ошибка возникает исключительно в версии Windows 10 под номером 1803 и тех, что вышли после. Казалось бы, можно расслабиться хоть тем, кто не привык регулярно обновляться. Что, кстати говоря, на самом деле еще хуже и данный случай лишь исключение из правил. Однако спустя некоторое время коллеги Уилла смогли воспроизвести аналогичное повреждение файловой системы на любой ОС, использующей NTFS по умолчанию. Даже на Windows XP. Оценить сроки устранения уязвимости затруднительно, можно лишь надеяться, что она не затрагивает базовую архитектуру широко используемого продукта Microsoft.