Осторожно: одной короткой командой Windows 10 можно вывести файловую систему из строя

Проверять на рабочих компьютерах настоятельно не рекомендуется

В операционной системе Windows 10 обнаружили пока не устранённую угрозу безопасности — с помощью небольшой команды можно повредить файловую систему NTFS на накопителе.

На проблему обратил внимание специалист по безопасности Jonas L. Причём он уже пытался привлечь к ней внимание в августе и октябре 2020 года, а теперь сделал это в третий раз. И сейчас его услышали. Тематический ресурс BleepingComputer провёл «многократные тесты» и подтвердил, что уязвимость работает.

Как отмечает BleepingComputer, эта небольшая однострочная команда может скрываться в файле ярлыка Windows, архиве ZIP, пакетном файле, и так далее. Такая замаскированная команда, будучи активированной, приведёт к сбою и повреждению индекса файловой системы, мгновенно выводя из строя накопитель, отформатированный в системе NTFS.

По словам специалиста, уязвимость работает начиная с Windows 10 версии 1803, вышедшей весной 2018 года. Что самое неприятное, активировать команду может обычный пользователь без каких-либо повышенных прав и привилегий в системе.

Проверять на своём или чужом рабочем компьютере работу уязвимости настоятельно не рекомендуется, поскольку накопитель с большой вероятностью станет недоступен. Тесты можно считать безопасными только на виртуальных машинах, которые вы можете легко восстановить из резервной копии.

На Windows-10 файловая система на внешнем HDD становится RAW

1. Количество подключенных HDD у меня более 10. Док-станции Agestar, USB3, некоторые рассчитаны на 1 диск, некоторые — на 2.
2. На Win-7 за годы работы ни разу не было каких-либо проблем.
3. На Win-10 за 7 месяцев потерял 10 дисков по 3 Тб каждый. Порча файловой системы происходит неожиданно, иногда после недель или месяцев работы, иногда — через несколько часов после установки диска. При обращении к испорченному диску появляется сообщение: «Не удается опознать присутствующую на томе файловую систему. «
4. Некоторые док-станции подключены прямо к компьютеру, некоторые — через USB-хаб. Порча происходит в обоих случаях.
5. Во время порчи напряжение питания стабильно. Порча происходит, когда компьютер запущен и работает, а не во время включения/выключения.
6. Порча произошла несколько раз на новом мощном моноблоке DELL и на стареньком ноутбуке Acer. И там, и там Win-10 версии 2004. То есть тип компьютера не важен, важна установленная ОС. Есть указания на то, что на версии Win-10 младше 2004 HDD не портятся.
7. Антивирус Avast установлен только на одной машине, на другом компе используется MS Defender, стороннего антивируса там нет. Но ФС слетает в обоих случаях. Следовательно, антивирус вне подозрений. Излишне говорить, что за все время работы машин вирусы на них не обнаруживались.
8. Если док-станция на 2 диска, то всегда портятся одновременно оба HDD (!).
9. Портятся как старые диски, так и новые из коробки. Портятся диски брендов Seagate и Toshiba (другие не использовал).
10. Показательный случай: диск наполовину был записан на компьютере с Win-7, потом HDD подключил к компу с Win-10 и там были записаны еще файлы. Я работал с новыми файлами, и вдруг в какой-то момент эти новые файлы стали недоступны, при этом папки и файлы, записанные на Win-7 читались. После перезагрузки компьютера весь диск стал недоступен.
11. А вот последний случай. После копирования диска Seagate с некоторым количеством плохих секторов на новый диск Toshiba (в спаренной док-станции) я решил зайти в папку с нечитаемыми файлами на старом диске Seagate. И в этот момент появилось сообщение, что чтение невозможно. После этого оба диска оказались недоступными (хотя в этот момент я работал с одним, первым, диском).
12. Если диск испортился (на Win-10), то он становится недоступен и на Win-7.
13. На компьютере Dell штатная утилита обслуживания рапортует, что все драйверы свежие и их обновление не требуется. Но на присоединенных дисках файловая система массово превращается в RAW.
14. Во всех случаях оснастка «Управление дисками» поврежденные HDD видит и может присваивать им буквы. Диск показывается как исправный, дается его объем, но на месте ожидаемого типа ФС стоит RAW.
15. chkdsk пишет: Тип файловой системы NTFS. Не удается прочитать первый загрузочный сектор NTFS. Попытка чтения второго загрузочного сектора NTFS. Невозможно определить версию тома и его состояние. Работа chkdsk прервана
16. Если провести быстрое форматирование, то все файлы можно спасти программой Recuva, но структура папок теряется. Сохранение требует нескольких суток непрерывной работы компьютера.
17. Программа Diskintrnals Uneraser также спасает файлы, при этом предварительно диск форматировать не нужно.
18. Консольная утилита Windows File Rescue поврежденные диски «не берет», но после быстрого форматирования, наверное, сможет восстановить файлы (не пробовал, но собираюсь).
19. Внутренние диски, как механические HDD, так и SSD, не портятся.
20. В Интернете толкового разбора аналогичных случаев не нашел. Есть короткие обрывочные сведения без решения.

Баг Windows 10 с повреждением файловой системы NTFS исправили сторонним патчем

Разработчики компании OSR выпустили неофициальный патч против бага в Windows 10. Заплатка помогает предупредить и заблокировать активацию серьезной уязвимости в драйвере Windows NTFS во всех версиях Windows 10, начиная с 1803 и выше, включая 20H2, а также Windows XP.

Специалисты OSR опубликовали исходный код патча на GitHub. Там же есть инструкция по его активации и удалению для того случая, если Microsoft выпустит собственное исправление для этой проблемы.

Патч под названием i30Flt является фильтром, который блокирует любые попытки системы открыть поток, который начинается с «:$i30:». Для его установки и активации, вероятно, понадобятся административные привилегии, так как в системе фактически происходит установка нового драйвера i30Flt.sys.

По информации Bleeping Computer, данная уязвимость не является просто проблемой, которую может решить ОС Windows 10 после перезагрузки с помощью chkdsk. Специалисты OSR и Bleeping Computer столкнулись с ситуацией, когда они несколько раз в процессе тестов запускали строку с активацией уязвимости, а после нескольких перезагрузок и проверки диска их ПК больше не загружались.

В середине января 2021 года эксперт рассказал о незакрытой до сих пор уязвимости в Windows 10, которую можно активировать с помощью однострочной команды. Она мгновенно производит повреждение файловой системы NTFS на жестком диске. Сразу после ее отработки Windows 10 предлагает пользователю перезагрузить ПК, чтобы восстановить поврежденные записи и исправить индексацию на диске. Данная уязвимость доступна не только из под администратора, ее может использовать любой пользователь Windows 10 с низкими привилегиями в системе. Уязвимость можно активировать удаленно, а также встраивать в HTML. В некоторых системах после ее отработки повреждается таблица MFT (NTFS Master File Table).

Самопроизвольное изменение файловой системы дисков в место NTFS на RAW

Самопроизвольное изменение файловой системы дисков в место NTFS на RAW

Windows 10 система изменила на левую систему RAW, в результате диск испортился и все файлы испорчены — за диск заплачены деньги а Windows 10 от Microsoft просто испортила диск — вместо того что бы — если не можешь прочитать диск — так не читай — но зачем форматировать диск в черти что

типа RAW и тем более сама не востанавливает этот диск который сама и испортила — это порча чужого имущества — как теперь востановить этот диск ? как теперь востановить данные на этом диске — которые имеют ценность . сделали операционную систему — а какую то программу по востановлению

повреждений не сделали это позор Windows. — должна защищать данные и информацию и имущество других людей а не вредить и причинять ущерб.
теперь я знаю что такое Microsoft Windows — она может испортить и повредить — в место того что бы помочь — в крайнем случае не причинять вред.

стоит антивирус касперского лицензия — и пишет — что таблица файлов повреждена и чеком не востановить — зачем портить чужой диск своей переменовкой файловый фомат на RAW если была NTFS — не можешь прочитать диск — так не читай и не лезь и не меняй и не порть ни чего того что не твое.

Microsoft Windows — у меня к вам вопрос — как теперь востановить диск и данные на нем без повреждения . какие программы официальные нужны . и что нужно делать .

Самопроизвольное изменение файловой системы дисков в место NTFS на RAW

Windows 10 система изменила на левую систему RAW, в результате диск испортился и все файлы испорчены — за диск заплачены деньги а Windows 10 от Microsoft просто испортила диск — вместо того что бы — если не можешь прочитать диск — так не читай — но зачем форматировать диск в черти что

типа RAW и тем более сама не востанавливает этот диск который сама и испортила — это порча чужого имущества — как теперь востановить этот диск ? как теперь востановить данные на этом диске — которые имеют ценность . сделали операционную систему — а какую то программу по востановлению

повреждений не сделали это позор Windows. — должна защищать данные и информацию и имущество других людей а не вредить и причинять ущерб.
теперь я знаю что такое Microsoft Windows — она может испортить и повредить — в место того что бы помочь — в крайнем случае не причинять вред.

стоит антивирус касперского лицензия — и пишет — что таблица файлов повреждена и чеком не востановить — зачем портить чужой диск своей переменовкой файловый фомат на RAW если была NTFS — не можешь прочитать диск — так не читай и не лезь и не меняй и не порть ни чего того что не твое.

Microsoft Windows — у меня к вам вопрос — как теперь востановить диск и данные на нем без повреждения . какие программы официальные нужны . и что нужно делать .

Если файловая система диска определяется как RAW (англ. raw — сырой, необработанный), то это означает, что на диске произошёл сбой и структура файловой системы повреждена.

Чаще всего это происходит при неправильном выключении компьютера, либо при неожиданном отключении питания.

Windows не умеет «делать RAW», она лишь определяет как RAW диск, файловую структуру которого не может прочитать и, соответственно, так же ничего не может не изменить на таком диске, не записать на него. Для Windows родной является как раз файловая система NTFS, разработанная Microsoft.

Поэтому файловая система RAW у Вас на диске могла появиться только в результате какого то сбоя.

Однострочная команда в Windows 10 может повредить жесткий диск с NTFS

Xakep #263. Кредитки в опасности

Издание Bleeping Computer сообщило, что неисправленный баг нулевого дня в Windows 10 позволяет повредить жесткий диск с файловой системой NTFS с помощью однострочной команды. Эксплоит для этой проблемы можно спрятать внутри файла ярлыка, ZIP-архива, batch-файлов и так далее, и такие файлы вызовут моментальное повреждение структуры файловой системы.

Проблему еще в прошлом году обнаружил ИБ-исследователь, известный как Джонас Ликкегаард. Он пытался привлечь внимание к багу еще в августе и октябре 2020 года, однако добился успеха лишь на этой неделе.

Эксплуатация уязвимости крайне проста: однострочная команда мгновенно повреждает диск с файловой системой NTFS, после чего Windows предлагает пользователю перезагрузить компьютер, чтобы устранить повреждения. При перезагрузке запускается утилита проверки диска, которая начинает восстановление. При этом в логах можно увидеть, что Master File Table (MFT) диска содержит поврежденную запись.

Исследователь говорит, что уязвимость появилась в коде Windows 10 build 1803 и Windows 10 April 2018 Update, а актуальна по сей день. Хуже того, для ее эксплуатации достаточно стандартной, низко привилегированной учтенной записи пользователя Windows 10.

Срабатывание бага и повреждение диска можно спровоцировать, если просто попытаться получить доступ к атрибуту NTFS $i30 ­определенным образом. Ниже можно увидеть пример такой опасной однострочной команды. Предупреждаем: не проверяйте работу бага на собственной работающей системе, лучше используйте для этого виртуальную машину!

Эксперт рассказывает, что атрибут $i30 связан с каталогами, он содержит список файлов и подпапок каталога, а в некоторых случаях может включать удаленные файлы и папки, что удобно для реагирования на инциденты или криминалистической экспертизы. При этом исследователь признает, что не понимает, как обращение к этому атрибуту повреждает диск, и почему ключ реестра, который мог бы помочь диагностировать проблему, не работает.

«Я понятия не имею, почему это вызывает повреждения. Нужно много работы, чтобы разобраться, почему ключ реестра, который должен отвечать за BSOD, не работает. Так что оставлю это людям с исходным кодом» — говорит эксперт.

Журналисты Bleeping Computer, проводившие собственные тесты, предупреждают, что баг может быть использован множеством способов. Например, файл ярлыка Windows (.url) , иконка которого расположена по адресу C:\:$i30:$bitmap, вызовет срабатывание уязвимости, даже если пользователь никогда не открывал данный файл. Достаточно просмотреть папку с файлом, чтобы Windows попыталась отобразить иконку.

И хотя в большинстве браузеров такие атаки ограничивает SOP (например, не получится использовать удаленный HTML-документ, ссылающийся на file:///C:/:$i30:$bitmap), исследователи считают, что эти ограничения можно обойти или использовать другие векторы атак. К примеру, на скриншоте ниже, уязвимость сработала из-за ZIP-архива с проблемным файлом.

Сообщается, что специалисты Microsoft уже изучают данную уязвимость. А пользователи, тем временем, обнаружили, что проблеме подвержены и более старые версии Windows, включая Windows XP.