当心!Win10一段字符串可损坏你的硬盘

发布者:Editor
发布于:2021-01-15 19:02

据外媒报道,Microsoft Windows 10中存在一个未修补的0day漏洞,允许攻击者使用一行命令 $i30 破坏NTFS格式的硬盘驱动器。



这个命令仅一行,且可以隐藏在Windows快捷文件、ZIP存档、批处理文件中触发硬盘驱动器错误,从而立即破坏文件系统索引。


该漏洞从Windows 10 Build 1803、Windows 10 2018年4月更新开始就可被利用,并继续在最新版本中工作。


在Windows 10中运行该命令并按Enter之后,用户将看到一条错误消息:“文件或目录已损坏且不可读。”


随后,Windows 10会立即提示用户重新启动其PC并修复损坏的磁盘卷。在重启的时候, Windows Check磁盘实用程序运行并开始修复硬盘驱动器。



驱动器损坏后,Windows 10将在事件日志中生成错误,说明特定驱动器的主文件表(MFT)包含损坏的记录。


不仅是C:驱动器,任何一个驱动器上都可以运行这个命令,然后被损坏。


更恐怖的是,一个有图标并位于C:\:$i30:$的Windows快捷方式文件(.url)会触发漏洞,即使用户从未打开该文件!


因为一旦此快捷文件下载到Windows 10 PC上,并且用户查看了它所在的文件夹,Windows Explorer会尝试显示该文件的图标。


为此,Windows Explorer将尝试访问后台文件中精心设计的图标路径,从而破坏进程中的NTFS硬盘驱动器。


接下来,“重新启动来修复硬盘驱动器”的通知会在WindowsPC上弹出。而整个过程,用户都没有打开这个快捷方式文件。


而且,为了让受害者下载Windows快捷方式(.url)文件。攻击者会通过欺骗用户下载ZIP归档文件,并将恶意字符串隐藏其中。当用户解压ZIP文件时便会触发攻击。


安全研究员称此漏洞已经存在很多年,并且早些时候已经向微软报告过了,但是仍然没有得到修补。



公众号ID:ikanxue

官方微博:看雪安全

商务合作:wsc@kanxue.com



声明:该文观点仅代表作者本人,转载请注明来自看雪