MicrosoftWindows10中一个未修补的零日漏洞允许攻击者通过一条命令破坏NTFS格式的硬盘。攻击者可以将此命令隐藏在Windows快捷方式文件、ZIP存档、批处理文件或各种其他向量中以触发硬盘驱动器错误,从而立即破坏文件系统索引。被严重低估的NTFS漏洞2020年8月和2020年10月,Infosec研究员JonasL两次提醒微软存在影响Windows10的未修补NTFS漏洞。(下图)攻击者可以通过单行命令触发该漏洞,立即破坏NTFS格式的硬盘,Windows会提示用户重新启动计算机以修复损坏的磁盘记录。重新启动后,WindowsCheckDisk实用程序将运行并开始修复硬盘。研究人员发现,该漏洞自Windows10build1803(Windows10April2018Update)开始引入,并在最新版本中继续发挥作用。(小编:1803之前的版本不受此漏洞影响,最新版本打补丁后症状有所缓解)更糟糕的是,Windows10系统上的标准和低权限用户帐户都可以触发该漏洞。警告:在正在运行的Windows系统上执行以下命令会立即损坏硬盘驱动器并可能使其无法访问。非安全专业人士请勿尝试或将其用于非法目的,后果自负。安全专家请在虚拟机中测试此命令,如果硬盘驱动器损坏,它仍然可以恢复到较早的快照。目前尚不清楚为什么访问此类文件属性会损坏硬盘驱动器,乔纳斯认为有助于诊断问题的注册表项并没有起到作用。乔纳斯随后有了惊人的发现,即零点击即可利用该漏洞。制作Windows快捷方式文件,将图标指向上述地址即可。如果用户浏览文件所在的文件夹,即使没有点击打开文件也会触发漏洞。因为WindowsExplorer会在后台尝试访问文件内部预制的图标路径,从而触发exploit破坏NTFS硬盘。据网络安全社区的消息来源称,这种类型的严重漏洞多年来一直为业界所知,已报告给微软,但尚未修复。根据开发者OliverL的最新反馈,在打完补丁的Windows1020H2VM中测试发现,cmd执行exploit命令并没有弹出硬盘故障窗口,唯一的影响是下次手动重启后操作系统,磁盘会被触发Checked,但没有数据损坏。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
