Windows 10：漏洞允许破坏NTFS媒体内容

windows10使用的NTFS文件系统的实现中存在一个以前未修补的漏洞。通过此漏洞，攻击者有可能破坏windows10使用的NTFS卷的内容。在NTFS卷上适当地制作文件以触发该漏洞。现在，安全研究人员已经在无数次指出这一点。

我从2021年1月9日起在Twitter上取消了@jonasLyk的最新披露-请参阅以下推文。访问特制文件夹足以利用此漏洞。整个过程可以远程触发(例如，下载精心制作的快捷方式文件或ZIP存档)。

onas L.已在2020年8月和2020年10月公开披露了此NTFS漏洞，没有任何反应。因此，他联系了Bleeping Computer，后者对其进行了测试，然后在本文中进行了披露。

短命令就足够了

对于利用此漏洞的攻击者，单行命令足以损坏NTFS格式的硬盘驱动器。可以通过将精心制作的文件(甚至是远程文件)放置在受影响的驱动器上的文件夹中来完成此操作。读取此文件后，Windows会提示用户重新启动计算机以修复损坏的磁盘条目。

Bleeping Computer在此处显示了一个命令作为此类触发器的示例，但警告不要在系统上对其进行测试。这是因为NTFS驱动器可能无法读取并随后丢失。在windows10命令提示符下运行命令后，错误：“文件或目录已损坏且无法读取。” 立即显示。为了进行测试，应该使用虚拟机。

显示的命令访问NTFS卷的$ 130属性。NTFS文件系统使用此$ I30属性来维护属于目录的所有文件/子目录的索引。

目前，尚不清楚为什么访问此属性会损坏驱动器。乔纳斯•L(Jonas L.)在对Bleeping Computer讲话时说：“我不知道为什么访问该属性会破坏NTFS卷。要弄清楚这一点将需要大量工作，因为在损坏时应触发BSOD的reg密钥不起作用。因此，我将其留给拥有源代码的人员。

将准备好的文件(例如.lnk文件)放在NTFS驱动器上(不需要打开数据)就足以触发错误。也可以考虑准备ZIP归档文件，这些文件在解压缩时会触发错误。驱动器损坏后，windows10在事件日志中生成错误，指出相应驱动器的主文件表(MFT)包含损坏的记录。

windows10版本1803中存在错误

正如Jonas L.对Bleeping Computer所说，他能够利用windows10版本1803中的错误。据说该错误在当前版本20H2之前仍然可以利用。Bleeping Computer在文章中写道，来自安全研究界的消息称，此类严重漏洞已被知晓多年。该错误早些时候已报告给Microsoft，但未修复。

Bleeping Computer已与Microsoft核对，以了解他们是否已经知道该错误以及是否会修复该错误。回应是：“微软已承诺要对其客户进行调查，以报告所报告的安全问题，我们将尽快为受影响的设备提供更新。”本文来源于win10系统下载官网，转载请注明来源与出处。