Um dia zero sem patch no Microsoft Windows 10 permite que invasores corrompam um disco rígido formatado em NTFS com um comando de uma linha.
Em vários testes por BleepingComputer , este one-liner pode ser entregue escondido dentro de um arquivo de atalho do Windows, um arquivo ZIP, arquivos em lote ou vários outros vetores para acionar erros de disco rígido que corrompem o índice do sistema de arquivos instantaneamente.
Em agosto de 2020, outubro de 2020 e, finalmente, esta semana, o pesquisador da infosec Jonas L chamou a atenção para uma vulnerabilidade NTFS afetando o Windows 10 que não foi corrigida.
Quando explorada, esta vulnerabilidade pode ser acionada por um comando de linha única para corromper instantaneamente um disco rígido formatado em NTFS, com o Windows solicitando que o usuário reinicie o computador para reparar os registros corrompidos do disco. O pesquisador disse ao BleepingComputer que a falha se tornou explorável a partir do Windows 10 build 1803, a atualização do Windows 10 de abril de 2018, e continua a funcionar na versão mais recente. O que é pior é que a vulnerabilidade pode ser acionada por contas de usuário padrão e de baixo privilégio em sistemas Windows 10.
Uma unidade pode ser corrompida simplesmente tentando acessar o atributo $ i30 NTFS em uma pasta de uma determinada maneira.
* AVISO * Executar o comando abaixo em um sistema ativo irá corromper a unidade e possivelmente torná-la inacessível. Teste este comando SOMENTE em uma máquina virtual que possa ser restaurada para um instantâneo anterior se a unidade for corrompida. *ATENÇÃO*
Um exemplo de comando que corrompe uma unidade é mostrado abaixo.
O Windows NTFS Index Attribute, ou string ' $ i30 ', é um atributo NTFS associado a diretórios que contém uma lista de arquivos e subpastas de um diretório. Em alguns casos, o Índice NTFS também pode incluir arquivos e pastas excluídos , o que é útil ao conduzir uma resposta a incidentes ou perícias.
Não está claro por que acessar esse atributo corrompe a unidade, e Jonas disse ao BleepingComputer que uma chave do Registro que ajudaria a diagnosticar o problema não funciona.
'Eu não tenho ideia de por que isso corrompe as coisas e seria muito trabalhoso descobrir porque a chave reg que deveria BSOD sobre corrupção não funciona. Então, vou deixar isso para as pessoas com o código-fonte ', disse Jonas ao BleepingComputer.
Depois de executar o comando no prompt de comando do Windows 10 e pressionar Enter, o usuário verá uma mensagem de erro informando: "O arquivo ou diretório está corrompido e ilegível."
O Windows 10 começará imediatamente a exibir notificações solicitando que o usuário reinicie o PC e repare o volume do disco corrompido. Na reinicialização, o utilitário de verificação de disco do Windows é executado e começa a reparar o disco rígido.
Depois que as unidades forem corrompidas, o Windows 10 gerará erros no Log de eventos informando que a Tabela de arquivos mestre (MFT) para a unidade específica contém um registro corrompido.