jueves, 14 de enero de 2021

Error en Windows 10 corrompe tu disco duro al ver el ícono un archivo

0-day sin parches en Microsoft Windows 10 permite a los atacantes corromper un disco duro con formato NTFS con un comando de una sola línea. En algunos casos, según el investigador, es posible corromper la tabla maestra de archivos NTFS (MFT). La vulnerabilidad se puede entregar oculto dentro de un archivo de acceso directo de Windows (.url), un archivo ZIP, archivos por lotes o varios otros vectores para desencadenar errores en el disco duro que corrompen el índice del sistema de archivos al instante.


Otro error (bug) de Windows 10 bloquea (BSOD, pantalla azul de la muerte Blue Screen of Death) tu PC cuando accedes a esta ubicación:

Windows URL file (.url) o si escribes en la barra de direcciones del navegador:

\\.\globalroot\device\condrv\kernelconnect

Vulnerabilidad NTFS "críticamente subestimada"

  • El error de Windows 10 corrompe tu disco duro al ver el ícono de este archivo

En agosto de 2020, octubre de 2020 y finalmente esta semana, el investigador de seguridad de la información Jonas L llamó la atención sobre una vulnerabilidad de NTFS que afecta a Windows 10 y que no se ha solucionado.

Cuando se explota, esta vulnerabilidad puede desencadenarse mediante un comando de una sola línea para corromper instantáneamente un disco duro con formato NTFS, y Windows le pide al usuario que reinicie su computadora para reparar los registros del disco dañados.


El investigador dice que el fallo se volvió explotable a partir de Windows 10 build 1803, la actualización de Windows 10 de abril de 2018, y continúa funcionando en la última versión.

Lo que es peor es que la vulnerabilidad puede ser provocada por cuentas de usuario estándar y con pocos privilegios en sistemas Windows 10.

Vulnerabilidad NTFS de JonathanLyk

El tuit de Jonas sobre una vulnerabilidad "críticamente subestimada"

Una unidad puede dañarse simplemente intentando acceder al atributo NTFS $ i30 en una carpeta de cierta manera.

* ADVERTENCIA * La ejecución del siguiente comando en un sistema en vivo dañará la unidad y posiblemente la hará inaccesible. SOLO pruebe este comando en una máquina virtual que pueda restaurar a una instantánea anterior si la unidad se daña. *ADVERTENCIA*

A continuación se muestra un comando de ejemplo que corrompe una unidad.

Úselo bajo tu propia responsabilidad.

c:\:$i30:bitmap

El atributo de índice de Windows NTFS, o cadena '$ i30', es un atributo NTFS asociado con directorios que contiene una lista de los archivos y subcarpetas de un directorio. En algunos casos, el índice NTFS también puede incluir archivos y carpetas eliminados, lo que resulta útil cuando se realiza una respuesta a incidentes o análisis forense.

No está claro por qué el acceso a este atributo corrompe la unidad, y Jonas dice que una clave de registro que ayudaría a diagnosticar el problema no funciona.

'No tengo idea de por qué corrompe las cosas y sería mucho trabajo averiguarlo porque la clave de registro que debería BSOD sobre la corrupción no funciona. Entonces, se lo dejo a las personas con el código fuente ''

Después de ejecutar el comando en el símbolo del sistema de Windows 10 y presionar Enter, el usuario verá un mensaje de error que dice: "El archivo o directorio está dañado y es ilegible".

Windows 10 comenzará inmediatamente a mostrar notificaciones que le pedirán al usuario que reinicie su PC y repare el volumen del disco dañado. Al reiniciar, la utilidad de comprobación de disco de Windows se ejecuta y comienza a reparar el disco duro, como se muestra en el siguiente video.

Después de que las unidades se corrompan, Windows 10 generará errores en el registro de eventos que indica que la tabla maestra de archivos (MFT) para la unidad en particular contiene un registro dañado.

Las pruebas también muestran que puede usar este comando en cualquier unidad, no solo en la unidad C: y esa unidad se dañará posteriormente.

Formas más sofisticadas de explotar el día cero

En las pruebas realizadas, los actores de amenazas pueden usar el comando de manera maliciosa en varios exploits de PoC.

Un hallazgo sorprendente que Jonas compartió fue que un archivo de acceso directo de Windows diseñado (.url) que tenía la ubicación de su icono establecida en C: \: $ i30: $ bitmap desencadenaría la vulnerabilidad incluso si el usuario nunca abrió el archivo.

Según lo observado tan pronto como este archivo de acceso directo se descargue en una PC con Windows 10, y el usuario vea la carpeta en la que está presente, el Explorador de Windows intentará mostrar el icono del archivo.

Para hacer esto, el Explorador de Windows intentaría acceder a la ruta del icono diseñada dentro del archivo en segundo plano, corrompiendo así el disco duro NTFS en el proceso.

A continuación, las notificaciones de "reiniciar para reparar el disco duro" comienzan a aparecer en la PC con Windows, todo esto sin que el usuario ni siquiera haya abierto o hecho doble clic en el archivo de acceso directo.

Entrega de carga útil a través de archivos ZIP, archivos HTML y varios medios


Los atacantes creativos también pueden entregar esta carga útil de diversas formas a la víctima.

Si bien la política del mismo origen en la mayoría de los navegadores limitaría la publicación de estos ataques desde un servidor remoto (p. Ej., Un archivo de referencia de documento HTML file:///C:/:$i30:$bitmap, existen medios creativos para evitar tales restricciones.

El investigador declaró brevemente que se podrían usar otros vectores para activar este exploit de forma remota, como a través de páginas HTML diseñadas que incorporan recursos de recursos compartidos de red o unidades compartidas que tienen referencias a la ruta $ i30 infractora.

En algunos casos, según el investigador, es posible corromper la tabla maestra de archivos NTFS (MFT).

Durante nuestra investigación se encontró con una advertencia.

En algunas pruebas, después de que la utilidad chkdsk de Windows 10 había "reparado" los errores del disco duro al reiniciar, el contenido del archivo de explotación, en este caso, el acceso directo de Windows diseñado con su icono establecido en C: \: $ i30: $ bitmap se borraría y se reemplazaría con bytes vacíos.

Esto significa que el archivo de acceso directo de Windows creado fue suficiente para realizar un ataque único si esto sucede.

Además, es poco probable que una víctima descargue un archivo de acceso directo de Windows (.url) de Internet.

Para hacer que el ataque sea más realista y persistente, los atacantes podrían engañar a los usuarios para que descarguen un archivo ZIP para entregar el archivo creado.

Un atacante puede, por ejemplo, colarse en su archivo de acceso directo de Windows malicioso con una gran cantidad de archivos legítimos dentro de un archivo ZIP.

No solo es más probable que un usuario descargue un archivo ZIP, sino que es probable que el archivo ZIP active el exploit cada vez que se extrae.

Esto se debe a que el contenido comprimido (y posiblemente encriptado) del archivo ZIP, incluido el acceso directo de Windows, no activará el exploit a menos que se extraiga.

E incluso cuando se extrae, el proceso de reparación del disco duro vaciaría el archivo de acceso directo de Windows extraído sin tocar la copia comprimida presente dentro del archivo ZIP hasta que el usuario intente volver a extraer el ZIP.

Según fuentes de la comunidad de seguridad de la información, las vulnerabilidades graves como estas se conocen desde hace años y se informaron a Microsoft anteriormente, pero siguen sin parchearse.

"Microsoft tiene un compromiso con el cliente de investigar los problemas de seguridad informados y proporcionaremos actualizaciones para los dispositivos afectados lo antes posible", dijo un portavoz de Microsoft 

Fuente:

https://www.bleepingcomputer.com/news/security/windows-10-bug-corrupts-your-hard-drive-on-seeing-this-files-icon/

1 comentario:

  1. NO es en Windows únicamente, es un malware y está presente en todos lo sistemas operativos, la única diferencia es que en Linux se elimina fácilmente, con un rm -rf ya que lo que hace es crear un archivo raw en el que va copiando toda la información de PC y la sube a servidores en otros países, está un poco divertido aunque no me he dado tiempo de ver proseso hasta el final

    ResponderEliminar