Технологии

«Убить» Windows иконкой: обнаружен баг, повреждающий данные на диске при открытии любого типа файлов

Специалисты по информационной безопасности нашли пренеприятнейшую особенность ОС Windows 10. Ее штатный драйвер файловой системы NTFS при определенных условиях реагирует крайне деструктивным образом — критически повреждает главную файловую таблицу MFT. Вызвать такое его поведение можно огромным количеством способов: от создания подготовленной веб-страницы до отправки картинок, файлов и документов жертве.

Проблема также и в том, что спровоцировать баг может пользователь с любым уровнем доступа — даже «гость». Последствия могут быть самыми разными. В большинстве экспериментов по изучению этой уязвимости операционная система благополучно перезагружается, исправляет ошибки на диске, и затем продолжает нормально работать. Но по неизвестным пока причинам в некоторых случаях после перезагрузки система выдает критическую ошибку и отказывается дальше запускаться. Исправить эту ситуацию непросто — необходимо сторонними средствами восстанавливать MFT.

Почему так происходит — сказать трудно, эксперты лишь определили, что это аномальная реакция системного драйвера NTFS на определенные символы в пути к файлу. Компания Microsoft, в свою очередь, подробностей не сообщает, только пообещала решить проблему максимально быстро. О новой уязвимости Windows 10 первым сообщил специалист по информационной безопасности под псевдонимом Jonas L. Его находку подтвердил Уилл Дорманн (Will Dormann), аналитик Координационного центра Компьютерной группы реагирования на чрезвычайные ситуации (CERT/CC), базирующейся в университете Карнеги-Меллона.

Как это работает

Чтобы спровоцировать баг, достаточно вызвать обращение к файлу, адрес которого содержит служебный атрибут $i30 и несколько определенных символов после него. Самого файла в указанной области диска может и не существовать, проблема возникает, когда драйвер обрабатывает это специфическое обращение. Атрибут $i30 переадресовывает запрос в индекс NTFS, где находятся данные о расположении всех файлов на диске, а также их свойства. Конкретные параметры после атрибута, которые вызывают ошибки, по соображениям безопасности мы указывать не будем.

После того как подобное обращение происходит, операционная система (ОС) незамедлительно сообщает, что на диске возникли ошибки, которые необходимо срочно исправить. Процесс подразумевает перезагрузку и запуск штатной утилиты проверки диска chkdsk. Несмотря на то что в большинстве случаев файловую систему удается успешно восстановить и Windows продолжает нормально работать, проводить эксперименты с этим багом на основном компьютере настоятельно не рекомендуется.

Дорманн и Jonas L получили множество комментариев от коллег и простых энтузиастов — те проверили уязвимость на виртуальных машинах или доступных устройствах. Результаты сильно отличались, самые пугающие включали в себя полную потерю способности ОС загрузиться даже в безопасном режиме. Восстановление данных в таком случае превращается в довольно непростую задачу.

В чем опасность

Для «срабатывания» бага не требуется намеренных действий пользователя — система сама регулярно выполняет фоновые обращения к файлам. Например, злоумышленник может создать документ, в котором вместо штатной иконки указано стороннее изображение. В указании содержится адрес картинки, включающий проблемную комбинацию символов. Даже просто сохраняя такой документ себе на компьютер, жертва повреждает его файловую систему. Дело в том, что при сохранении документа ОС увидит указание на нестандартную иконку и попробует ее запросить.

После обращения к файлу с проблемной последовательностью символов в адресе, лог системных ошибок пополняется такой записью / ©Bleepingcomputer

Это лишь один пример использования обнаруженной уязвимости драйвера NTFS. Фактически, ее триггер может быть спрятан где угодно: в архивах, офисных документах, изображениях, ссылках на удаленные дисковые хранилища и даже на веб-сайтах. Каких-либо специфичных мер предосторожности нет. Специалисты лишь советуют не открывать файлы из неизвестных источников и регулярно делать резервные копии всех важных данных на внешний накопитель.

Поначалу Дорманн установил, что баг наблюдается только в версии Windows 10 под номером 1803 и тех, что вышли после. Казалось бы, можно расслабиться хоть тем, кто не привык регулярно обновляться. Что, кстати говоря, на самом деле еще хуже и данный случай лишь исключение из правил. Однако спустя некоторое время коллеги Уилла смогли воспроизвести аналогичное повреждение файловой системы на любой ОС, использующей NTFS по умолчанию. Даже на Windows XP. В какие сроки уязвимость будет закрыта сказать сложно, остается надеяться, что проблема не связана со всей архитектурой популярнейшего продукта Microsoft.

Комментарии

    • Доля рынка занимаемого Линукс 1-2 процента. Поэтому он такой Неуловимый Джо. Говоря еще проще никто не ищет, а значит и не находит в нем уязвимости. Совсем другое дело Win10 доля которой 60% а еще 30% занимают остальные версии винды.

        • Ну вот видите стоило копнуть и посыпались уязвимости как из дырявого мешка. Разумеется при этом Линукс все равно самая безопасная операционка в мире ))

          • Главная аксимоа программирования заключается в том, что совершенно в любой более-менее сложной прогамме ВСЕГДА есть ошибки. Разумеется, Линукс не исключение. Вопрос в том, как много этих уязвимостей и насколько они критичны.
            Насчёт безопасни я не скажу, не задавался серьёзно этим вопросом. Но в плане количества глюков и несуразностей я могу сказать по своему опыту, что windows (даже windows 10, которая, безусловно, является бриллиантом в короне microsoft и самой лучшей их операционкой) на голову впереди линукса. Так что я не удивлюсь, что и в плане уязвимостей windows хуже, как об этом говорят. Просто потому, что винда на порядок сложнее, запутаннее линукса и ошибок в принципе значитаельно больше.

            Но, конечно, 90% пользователей все эти нюансы до фонаря и никакого смылса для них в переходе с windows на linux нет.

          • Перечислите хотя бы несколько "глюков и несуразностей" заметных конечному пользователю (не сисадмину), а то разговор какой-то беспредметный. Не собираюсь доказывать что винда идеальная система, но она работает и под нее написано куча софта. С которым пользователь обычно и сталкивается, а собственно операционку видит не так уж часто. За себя могу сказать, что серьезной помехой были лишь отношения с сетью и встроенной точкой доступа. Но я не специалист и тыкал почти вслепую. Поэтому пришлось использовать другие решения для раздачи вай-фай, а глюк сетевого обнаружения не удалось победить полностью. Но не думаю что это повод соскакивать на линукс ))

          • Вот навскидку то, с чем столкнулся лично я:
            1. Есть такая программа для атомистического моделирования:
            https://lammps.sandia.gov/
            Я не смог её скомпилировать под винду с нужными мне библиотеками, как бы ни плясал с бубном (есть прекомпилированная версия, которая отлично работает на винде, но там нет этих библиотек). Да, может, это я дурак, но на Linux Mint я это сделал за пять минут.
            2. Программа для конечно-элементного моделирования: https://fenicsproject.org/ просто не ставится под винду в принципе.
            3. Один из самых популярных IDE для python: Spyder - под виндой запускался у меня раз в 10 медленнее, чем под линуксом.
            4. Как я ни бился, не смог найти, как в виндовсе настроить, чтобы файл с непонятным расширением (.out, .conf, .in) или без расширения открывался по умолчанию текстовым редактором. Для каждого расширения приходится отдельно задавать соответствие, а для файлов без расширений так и вовсе невозможно настроить это, каждый раз приходится кликать правой кнопкой и выбирать "открыть с помощью". Раздражает невероятно.

            Справедливости ради стоит отметить, что в windows 10 первые три пункта, в принципе, поправлены тем, что я могу из-под винды запустить wsl (windows subsystem linux) и командой строкой линукса орудовать по всей файловой системе виндовс, запускать расчёты как если бы я запускал "чистый" линукс. И это прям очень-очень круто, респект и уважуха microsoft за это, прям от души парням. Но все дистрибутивы, которые так можно запустить из-под win10 идут без графической оболочки, с графической оболочкой идёт только kali linux, и там есть суровый глюк с переключением языка ввода (мне надо комбинацией клавиш переключить его, а потом дополнительно ещё и мышкой клацнуть на значке переключения). Да и не нравится мне kali, мой любимый дистрибутив линукса это Linux Mint, он не поддерживается wsl, не ставится туда ни с графической оболочкой, ни без. Так что использование линукса из-под винды с помощью wsl не даёт мне того фана и удовольствия, как если я это делаю без помощи винды.

            Я, кстати, тоже не буду доказывать, что линукс - идеальная система. Для подавляющего большинства пользователей, разумеется, виндовс гораздо удобнее и лучше. Я сознаю, что мои запросы к ОС довольно специфичны.

          • У вас очень специфические требования. Расчеты по МКЭ, атомной статистике, это уровень научного сотрудника.
            И очень хорошо, что в мире есть линукс и вы можете взять его для своих нужд.

            Программы для науки - это та еще специфика, сталкивался. Кол-во пользователей у них меньше, условия лицензирования бывают запредельно строгими, а остальное уже как получится. И кряки и ломалки на них не найдешь просто так.

            Ставил многие линуксы. Уровень юзерфрендли у них слабоват, кроме разве что убунту. Косяков у всех немерено. Винда и близко не стоит.

            Винда тоже давно уже раздражает и многими своими фокусами.

            Похоже, рано или поздно придется присоединяться к какому-то авторскому проекту ОС. Такие ОС, ведущиеся даже одним человеком, на самом деле есть, они представлены на хабре.

      • Вы имеете ввиду долю конкретно десктопного линукса, если говорить о серверном и мобильном сегменте - всё с точностью наоборот, и выгода от поиска уязвимостей больше отнюдь не в первом.

        • Да ладно. Один раз взломать компанию, украсть сотню тысяч, привлечь к себе внимание органов и возможно сесть за это дело на долгие годы. Или каждый день тырить понемногу со счетов доверчивых пользователей без особых последствий? Славы в первом случае больше, а вот насчет выгоды не уверен.

          • Во-первых успешный взлом большинство компаний, работающих в сферах, где репутация имеет значение, предпочитают замалчивать, а уж успешное расследование и наказания хакеров в сравнении с общим количеством преступлений весьма незначительно.
            Во-вторых "тырить понемногу" - это как раз о мобильных устройствах, на которых доля линукса более 80%.
            Я не фанатик, однако ваша точка зрения кажется мне довольно устаревшей.

          • Андроид конечно основан на ядре линукс, но линуксом не является. О чем говорит хотя бы невозможность запускать на андроиде линукс-приложения. Различия довольно велики. И вот вернет ли гугл свой Андроид к истокам (допишет линукс) или превратит его в нечто совсем другое (ту же фуксию) это вопрос весьма дискуссионный ))

          • Чем же по вашему отличается linux в андроид и в дистрибутивах gnu/linux? Очень рад что куча linux-приложений не знают, что не могут запускаться на моих устройствах с Android, было бы не удобно :)Для продолжения дискуссии на вашем месте бы подтянул матчасть.

        • И кстати покажите статистику использования Линукс в серверном сегменте. Стало интересно. Охотно допускаю что там доля линуксов выше но вот о тотальном превосходстве читал лишь на порталах яростных линуксоидов и как водится без конкретики.

          • Бегло погуглил и могу сказать что статистика довольно неоднозначная, но судя по всему доля серверов под управлением unix-like os - около 70%, в современных облачных технологиях доля именно линукса более 90%, что не удивительно.

  • Правильно ли я понимаю, что при нахождении противоядия, его получат только пользователи десятки, а семерочники и экспишники будут лапу сосать и останутся перед этой напастью словно голенькие?

    • Я думаю, что да, ибо microsoft официально прекратил поддержку xp и 7-ки. Соответственно, и обновлений не выпускают.
      Но, как я понимаю, описанная в статье "напасть" довольно ерундовая в виду того, что вероятность с ней столкнуться крайне мала.

      • microsoft официально прекратил поддержку xp и 7-ки. Соответственно, и обновлений не выпускают --- гораздо раньше, чем МС прекратил поддержку 7, на ней стали НЕ работать нормально многие очень нужные программы, и НЕ ставиться многие очень нужные драйверы на новые принтеры и др. оборудование. Производители тоже не хотят тратить лишние ресурсы на обеспечение совместимости.

        МС просто резюмировал, что пациент скорее мертв.

      • Вот статья на хакере, там есть команда, вызывающая этот баг --- https://xakep.ru/2021/01/15/ntfs-bug/

        Побалуюсь на досуге, есть пара тренировочных ноутбуков.
        Побаловался. Нигде (нигде) не удалось воспроизвести неуловимый баг, команду брал из статьи хакера. Винды где пробовал --- 1.вин7 макс х322.вин8.1.апд1 проф х643.вин10 проф х64Все винды чистые, без антивирусов, фаерволов, без иных программ (кроме офиса проф), установка стандартная, никаких твиков, патчей, кроме лечения от жадности.
        При выполнении этой магической команды винда пишет, что не может найти папку. Какую - непонятно, может папку "$360"? Подозреваю, что папка с таким именем может появляться прииспользовании кит антивируса тотал360, это я не использую.

        • А при чем $360, если речь о $i30?

          • да верно ни при чем. Команду я вводил с бумажки 2 раза проверял потом еще раз вводил потом удалял файлы (в статье хакера было что-то про удаленные файлы). Безрезультатно. Не увидел я вожделенного суперпупербага.

        • Лол "лечение от жадности" уже подразумевает, что вы запустили на чистой ОС программу неизвестного хакера и разрешили ей делать там что угодно. Как раз стремление избавиться от "лечения" и сподвигло поставить когда-то десятку. Целый год можно было устанавливать 100% лицензионную ОС без всяких "ломалок" и "ключиков" Кто пропустил этот аттракцион неслыханной щедрости тот сам себе буратино.

          • Учитывая, что аттракцион неслыханной щедрости продолжался не год, а целых три или четыре (для тех, кто осмелился чутка соврать о полноте своих возможностей в жизни), то я вообще не понимаю, как можно было не получить себе Win 10. Ну, кроме совсем уж узкоспециализированных случаев типа промышленного или медицинского оборудования.

          • Боюсь мелкомягких, дары приносящих. Чем новее винда, тем больше телеметрии. Она уже все больше работает на себя, а не на меня.

            Ставил 10-ку, на личные ноуты, и не раз. Сначала вроде бы все хорошо. Через какое-то время начинаются фокусы. То тачпад отвалится. То тормоза какие-то на ровном месте. То то. То се. Балин, мне что, нефиг делать инсту и тиндер глядеть штоле, у меня работа стоит ! А оно мне с утреца предлагает обновиться без вариантов. А то что мне банк надо срочно открыть ему пофиг. И сидишь до обеда глядишь как оно выполняет защиту тебя от угроз. А клиент уже уплыл, не дожидаясь, когда я банк разрожусь и гляну... Спасибо за защиту. Блин.

          • Сказки рассказываете. Сильно сомневаюсь что вы их действительно "ставили" Дело даже не в том, что я тоже ставил и описанных вами ужасов не наблюдал.
            А вот в таких мелких деталях про "обновление без вариантов" Эта клиническая картина не то чтобы невозможна, но требует очень уж интересных условий. За несколько лет я такое видел всего пару раз.
            1) Пользователь забил на обновления игнорировал просьбы и мольбы ОС и таки дождался.
            2) Пользователь не выключал (засыпал) комп очень долго, а потом вдруг выключил. На значок "требуется обновление" не обращал внимание несколько недель.
            3) Пользователь "отключил" обновления. Хотя полностью это сделать в десятке нельзя и об этом не раз предупреждали.
            И конечно вот тут ему прямо срочно стало надо в банк-клиент)) Впрочем учитывая ваши не совсем традиционные взгляды на обновления, безопасность и прочие антивирусы не удивлюсь как раз последнему варианту.

          • Вдобавок, специально для таких любителей стращать всех неумолимостью обновлений Win 10 есть опция "часы активности"...

          • Ну это не совсем честный способ )) и при желании его можно объявить нелицензионным из-за отсутствия "инвалида", но работает без всяких ключиков и прочих хитростей к которым прибегают взломщики. Вот никогда не верил что люди занимаются взломом ПО из чистого альтруизма. Конечно такой "альтруист" приложит все усилия чтобы пользователь не догадался о том "что оно делает", например участвует в ботнете без его ведома )) Бояться при этом официальной телеметрии на мой взгляд исключительно забавно. Времена когда вирусы вели себя деструктивно остались в прошлом. Сейчас они тихо и незаметно помогают хакеру заработать. Используя ломаное ПО просто соглашаешься с таким фактом.

          • Если не сделать лечение, винда очень медленно работает. Всю душу вынает. Почему лечение - это что-то от неизвестного хакера? Я же вижу что оно делает. Проверено. И не на одном компе. Это сама винда уже мегавирус от неизвестного индийского хакера.

    • Думаю, что производители антивирусного ПО о них побеспокоятся. Уж что-что, а обращения к MFT всеми антивирусами контролируется.

      • Когда я слышу слово антивирус, я хватаюсь за револьвер. (с)

        • Так ведь в 10-ке он встроенный. Не стоит хвататься за револьвер, увидя себя утром в зеркале)))

          • 10-ка - тоже повод для чистки револьвера. Пока еще работает вин8.1 апд1, можно этот кусок фекалий не употреблять.

          • Вы сильно удивитесь, но "защитник виндовс" или попросту Windows Defender появился еще в ХР. Как впрочем и встроенный файрвол.
            Два самых важных компонента антивирусного ПО. На самом деле у вас есть антивирус (встроенный от M$) просто вы об этом не знаете.
            https://ru.wikipedia.org/wiki/%D0%97%D0%B0%D1%89%D0%B8%D1%82%D0%BD%D0%B8%D0%BA_Windows
            https://ru.wikipedia.org/wiki/%D0%91%D1%80%D0%B0%D0%BD%D0%B4%D0%BC%D0%B0%D1%83%D1%8D%D1%80_Windows

          • Вы тоже сильно удивитесь, но я пробовал эти "защитничков" еще со времен ХР. Итог - везде снес и везде счас отключаю. Почему --
            фаерволл это поганый, например, блокирует стандартное приложение СОНО для сдачи ФНО в РК. И еще масса других фокусов за ним.

            дефендер этот сволочной легко может начать привязываться к стандартному приложения для работы с с госуслугами в РК (NCALayer). И легко блокирует его, вот пишет не нужен он вам, он вредный. Хорош замечательно но нам то что делать пешком идти за госуслугами? А ему по барабану.

            хуже того - лично у меня были случаи сбоев загрузки профиля из-за этого поганого дефендера. Как это выглядит? Очень прекрасно - грузится профиль по умолчанию (общий), то есть никаких программ, никакого рабстола. Польз-ль воет, где оно куда все ушло? А вот дефендер начал держать криво написанный нкалайер, они друг с другом боролись-боролись при загрузке, и винда по концовке решила, а ну вас всех к Тьюрингу, гружу профиль общий... Красота.... Причем последний раз такое было аккурат перед моим отпуском. Мне через 4 недели ехать в Прагу, билеты куплены, гостиница оплачена, виза получена, а тут меня начинают непредсказуемо падать компы узеров один за одним, в день 1-2 падения. Спасибо. Снес к Тьюрингу последний внушавший доверие антивирус, то есть встроеный виндовый. И с тех пор забыл (почти) о каких либо проблемах.

          • Просто научиться с ними работать не пробовали? Сильно подозреваю что вышеописанные ужасы как раз результат вашей деструктивной деятельности. Почему? Да потому что у тех кто не сносит все к чертям по своей умноте и не выкручивает системе руки этих ужасов как-то не наблюдается. Я впрочем 8-ку благополучно пропустил сразу перешел с win7 на win10 может там все так плохо )) и вот как-то не случалось чтоб обычные приложения не работали. Тачпады не не отваливаются и дрова вайфай на ноуте работают хоть и старые как говно мамонта. Была разок проблема с подключением рейда, пришлось повозиться, но в итоге нашлось решение которое и на win10 работает. Ах да китайский usb микроскоп не хотел запускаться. Тоже все решилось, повертел в руках пару часиков и нашел работоспособный драйвер. Всего-то надо было выбрать из двух системных который работает, а не тот что цепляется по умолчанию. Китайские же дрова (под ХР и ниже) просто выбросил. Ну и так далее. Когда-то я тоже страдал кастомизацией, но лет 10 назад мне надоело настраивать все заново. Из особых извращений помню только установку неподписанных драйверов ps-принтера Конечно есть обходные решения, но вот захотелось. Оказывается можно. Нашелся способ хоть и весьма непрямой. Зато стандартными средствами.

          • По пунктам.
            1. рейд после появления ССД вообще потерял всякий смысл. А уж после НВМЕ вообще не знаю, зачем еще живет это понятие. До сих пор читаю на форумах страшные новости про падение контроллеров рейда, или самого массива. Странные люди, я уже лет как 10 забыл про эти грохочущие чудища.

            2.есть такая пословица - некоторые программы следует выбросить еще до использования.
            Антивирус, который вам так усиленно впихивают мифостроители рекламы - это на самом деле банальный, как вареная картошка, менеджер автозапуска. Их вообще то даже для винды, как грязи. Можно использовать Ccleaner, если нет опыта. Если есть желание попробовать что-то посильнее - в сети есть масса бесплатных менеджеров автозапуска. Хотя бы взять uvs_410 (универсальный вирусный сканер). Даже базовые его вьюшки - "Подозрительные и вирусы", и "Основной автозапуск" - позволяют лечить что хочешь. УВС не требует инсталляции, бесплатен. А уж про встраиваемые скрипты и прочие вкусности его вообще молчу. Уразумеваете, как вас разводят на платном антивирусе - у вас там нет ни одной базовой возм-ти УВС.

            3. эти факапы лютые это только то что навскидку вспомнил. Могу еще примеров привести их валом. При постоянной работе с клиентом нарабатывается опыт, и нужно делать выбор - либо врать и вешать клиенту лапшу вместе с вендорами, либо делать хоть что-то полезное.

          • Ладно, ладно вы круты, но все сыплется, виноваты вруны вендоры. Я днище, пользую бесполезный рейд, дружу с вендорами, все работает. Даже кэш из мелкого ssd подключенный к обычному диску через интеловский raid-контроллер, который позволяет использовать в связке диски разной емкости. И по сути превращает HDD в гибридный SSHD.

          • Семен уже пару раз озвучивал весьма странные взгляды в области компьютерной безопасности )) Нынешние заявления о превосходстве Win 8.1 апд1 тоже можно смело положить в "копилку юмора"

          • Ничего не знаю о превосходстве. Просто лично мне удобнее. Управляемость больше, не обновляется когда мне не надо. Тормозит меньше. Вы думаете, я ни разу не пробовал вин10? Раз 15 ставил, и каждый раз откатывался. Пока она очень неудобна.

  • да пож-та. Кто не дает. Антивирус вопит. Банк-клиент тоже. Госуслуги (казахстанские) барахлят ни падецки. Принтеры с 5-го на 10-е. Многие проги уже даже инсталляцию на 7-ке не начинают, вылетают.