fallo de seguridad presente en el atributo $i30 de NTFS de Windows 10
AS-007-2021
Fecha: 18/Enero/2021
Resumen:
El investigador de seguridad "Jonas L" alerto a través de Twitter sobre un fallo de seguridad presente en el atributo $i30 de NTFS de Windows 10, aunque también se ha identificado el fallo en sistemas Windows XP.
El acceder a este atributo de una manera específica desde un directorio provoca que se corrompa el disco duro.
Se evidencia que esta vulnerabilidad puede ser ejecutada incluso con usuarios que no tengan privilegios de administrador.
Adicionalmente, se alerta que esta vulnerabilidad puede ser lanzada de forma autónoma con solo descargar un acceso directo que implemente la llamada a $i30. También se conoce que este tipo de ataques pueden ser embebidos en archivos zip.
El CSIRT probó esta vulnerabilidad en una máquina virtual y se corrobora la corrupción del disco. Al momento no se conoce de ningún parche que mitigue este incidente.
Prueba de Concepto:
El siguiente comando debe ser empleado únicamente sobre un ambiente de prueba en una máquina virtual, previo a haber obtenido un snapshot. No se recomienda ejecutar el comando en otro tipo de ambientes.
1) Se aplica el comando mediante CMD y el sistema genera una alerta de corrupción de disco
2) El sistema se reinicia e intenta recuperar el disco
3) Se evidencia el error en NTF mediante los logs del equipo
Se recomienda evitar la descarga de adjuntos o ejecutables del internet de cuyo origen se tenga dudas. Además, es importante aplicar los parches una vez que el fabricante los ponga a disposición.
Referencias: