Уведомления
Авторизуйтесь или зарегистрируйтесь, чтобы оценивать материалы, создавать записи и писать комментарии.
Авторизуясь, вы соглашаетесь с правилами пользования сайтом и даете согласие на обработку персональных данных.
«Убить» Windows иконкой: обнаружен баг, повреждающий данные на диске при открытии любого типа файлов
Специалисты по информационной безопасности нашли пренеприятнейшую особенность ОС Windows 10. Ее штатный драйвер файловой системы NTFS при определенных условиях реагирует крайне деструктивным образом — критически повреждает главную файловую таблицу MFT. Вызвать такое его поведение можно огромным количеством способов: от создания подготовленной веб-страницы до отправки картинок, файлов и документов жертве.
Проблема также и в том, что спровоцировать баг может пользователь с любым уровнем доступа — даже «гость». Последствия могут быть самыми разными. В большинстве экспериментов по изучению этой уязвимости операционная система благополучно перезагружается, исправляет ошибки на диске, и затем продолжает нормально работать. Но, по неизвестным пока причинам, в некоторых случаях после перезагрузки система выдает критическую ошибку и отказывается дальше запускаться. Исправить эту ситуацию непросто — необходимо сторонними средствами восстанавливать MFT.
Почему так происходит — сказать трудно, эксперты лишь определили, что это аномальная реакция системного драйвера NTFS на определенные символы в пути к файлу. Компания Microsoft, в свою очередь, подробностей не сообщает, только пообещала решить проблему максимально быстро. О новой уязвимости Windows 10 первым сообщил специалист по информационной безопасности под псевдонимом Jonas L. Его находку подтвердил Уилл Дорманн (Will Dormann), аналитик Координационного центра Компьютерной группы реагирования на чрезвычайные ситуации (CERT/CC), базирующейся в университете Карнеги-Меллона.
Как это работает
Чтобы спровоцировать баг достаточно вызвать обращение к файлу, адрес которого содержит служебный атрибут $i30 и несколько определенных символов после него. Самого файла в указанной области диска может и не существовать, проблема возникает, когда драйвер обрабатывает это специфическое обращение. Атрибут $i30 переадресовывает запрос в индекс NTFS, где находятся данные о расположении всех файлов на диске, а также их свойства. Конкретные параметры после атрибута, которые вызывают ошибки, по соображениям безопасности мы указывать не будем.
После того, как подобное обращение происходит, операционная система (ОС) незамедлительно сообщает, что на диске возникли ошибки, которые необходимо срочно исправить. Процесс подразумевает перезагрузку и запуск штатной утилиты проверки диска chkdsk. Несмотря на то, что в большинстве случаев файловую систему удается успешно восстановить и Windows продолжает нормально работать, проводить эксперименты с этим багом на основном компьютере настоятельно не рекомендуется.
Дорманн и Jonas L получили множество комментариев от коллег и простых энтузиастов — те проверили уязвимость на виртуальных машинах или доступных устройствах. Результаты сильно отличались, самые пугающие включали в себя полную потерю способности ОС загрузиться даже в безопасном режиме. Восстановление данных в таком случае превращается в довольно непростую задачу.
В чем опасность
Для «срабатывания» бага не требуется намеренных действий пользователя — система сама регулярно выполняет фоновые обращения к файлам. Например, злоумышленник может создать документ, в котором вместо штатной иконки указано стороннее изображение. В указании содержится адрес картинки, включающий проблемную комбинацию символов. Даже просто сохраняя такой документ себе на компьютер, жертва повреждает его файловую систему. Дело в том, что при сохранении документа ОС увидит указание на нестандартную иконку и попробует ее запросить.
Это лишь один пример использования обнаруженной уязвимости драйвера NTFS. Фактически, ее триггер может быть спрятан где угодно: в архивах, офисных документах, изображениях, ссылках на удаленные дисковые хранилища и даже на веб-сайтах. Каких-либо специфичных мер предосторожности нет. Специалисты лишь советуют не открывать файлы из неизвестных источников и регулярно делать резервные копии всех важных данных на внешний накопитель.
Поначалу Дорманн установил, что баг наблюдается только в версии Windows 10 под номером 1803 и тех, что вышли после. Казалось бы, можно расслабиться хотя бы тем, кто не привык регулярно обновляться. Что, кстати говоря, на самом деле еще хуже и данный случай лишь исключение из правил. Однако спустя некоторое время коллеги Уилла смогли воспроизвести аналогичное повреждение файловой системы на любой ОС, использующей NTFS по умолчанию. Даже на Windows XP. В какие сроки уязвимость будет закрыта сказать сложно, остается надеяться, что проблема не связана со всей архитектурой популярнейшего продукта Microsoft.
Согласно решению Арбитражного суда Амурской области, строительство стартового комплекса «Ангара» на Восточном должны приостановить. Напомним, стартовый стол создают под тяжелую ракету «Ангара-А5», которую хотят применить для испытаний космического корабля нового поколения.
Новейший марсоход NASA в первый раз проехал по Красной планете: всего аппарат преодолел 6,5 метра. Ранее ровер прислал первые снимки с поверхности Марса.
По числу одобривших его использование стран российский препарат обогнал даже так называемого фаворита Запада — вакцину от Pfizer и BioNTech.
Согласно решению Арбитражного суда Амурской области, строительство стартового комплекса «Ангара» на Восточном должны приостановить. Напомним, стартовый стол создают под тяжелую ракету «Ангара-А5», которую хотят применить для испытаний космического корабля нового поколения.
Итак, к многоразовым ракетам мы все уже привыкли, хорошо. Что дальше? Правильно, спутники. И это не шутка: следующее поколение аппаратов в «созвездии» GPS получит возможность апгрейда прямо на орбите, что позволит продлить их срок службы.
По числу одобривших его использование стран российский препарат обогнал даже так называемого фаворита Запада — вакцину от Pfizer и BioNTech.
Даже при разработке точнейших научных инструментов случаются разные технические сюрпризы — и хорошо, если приятные. К счастью, именно так вышло на этот раз. Ученые получили очередную порцию данных с космического аппарата Parker Solar Probe и здорово удивились. На сделанном в оптическом диапазоне снимке ночной стороны Венеры видны детали поверхности, обычно скрытые плотными облаками. Теперь предстоит решить загадку: либо камера оказалась чувствительна к инфракрасному диапазону излучения, либо случайно обнаружилось «окно» для наблюдений через атмосферу этой планеты.
В Техасе замерзли газовые скважины и от холода встал блок АЭС: новые подробности рекордного блэкаута
Кого и что только ни успели уже обвинить в технологической катастрофе, которая произошла на этой неделе в США. Но эмоции плавно оседают, и начинают появляться первые результаты разбирательства. А они порой вызывают искреннее недоумение, честно говоря.
Новость, которую странно публиковать на серьезном научно-популярном портале, но от реальности не убежишь. Уфологи всего мира могут радоваться: американские военные официально признали, что изучали места крушения НЛО и в их распоряжении есть некие аномальные объекты, свойства которых выходят за рамки известных науке материалов.
Комментарии