esenfrdeitptru

fallo de seguridad presente en el atributo $i30 de NTFS de Windows 10

AS-007-2021

Fecha: 18/Enero/2021

Resumen:

El investigador de seguridad "Jonas L" alerto a través de Twitter sobre un fallo de seguridad presente en el atributo $i30 de NTFS de Windows 10, aunque también se ha identificado el fallo en sistemas Windows XP.

El acceder a este atributo de una manera específica desde un directorio provoca que se corrompa el disco duro.

Se evidencia que esta vulnerabilidad puede ser ejecutada incluso con usuarios que no tengan privilegios de administrador.

Adicionalmente, se alerta que esta vulnerabilidad puede ser lanzada de forma autónoma con solo descargar un acceso directo que implemente la llamada a $i30. También se conoce que este tipo de ataques pueden ser embebidos en archivos zip.

El CSIRT probó esta vulnerabilidad en una máquina virtual y se corrobora la corrupción del disco. Al momento no se conoce de ningún parche que mitigue este incidente.

Prueba de Concepto:

El siguiente comando debe ser empleado únicamente sobre un ambiente de prueba en una máquina virtual, previo a haber obtenido un snapshot. No se recomienda ejecutar el comando en otro tipo de ambientes.

imagen1 win

1) Se aplica el comando mediante CMD y el sistema genera una alerta de corrupción de disco

imagen2 win

imagen3 win

2) El sistema se reinicia e intenta recuperar el disco

imagen4 win

3) Se evidencia el error en NTF mediante los logs del equipo

imagen5 win

Se recomienda evitar la descarga de adjuntos o ejecutables del internet de cuyo origen se tenga dudas. Además, es importante aplicar los parches una vez que el fabricante los ponga a disposición.

Referencias:

https://www.bleepingcomputer.com/news/security/windows-10-bug-corrupts-your-hard-drive-on-seeing-this-files-icon/

https://twitter.com/jonasLyk/status/1347900440000811010