El 14 de enero de 2021, se hizo público una vulnerabilidad de día cero que permitiría a atacantes corrompter un disco duro en formato de archivos NTFS utilizando una sola línea de comandos. Esta instrucción puede estar embebida en un ícono de acceso directo, en un archivo ZIP, archivos batch, entre otros vectores que activarían el fallo presente en los volúmenes de formato NTFS, corrompiendo inmediatemente el sistema de archivos.
Un disco puede corromperse solamente intentando acceder al atributo NTFS $i30 en una directorio de una forma particular. Un ejemplo de comando malicioso se muestra a continuación:
cd c:\:$i30:$bitmap
El atributo de índice NTFS en Windows, o string ‘$i30‘, es un atributo NTFS asociado con los directorios que contienen una lista de los ficheros y subcarpetas. En algunos casos el índice NTFS puede eliminar ficheros y directorios, funcionalidad útil durante tareas forenses y de Respuesta a Incidentes.
Luego de ejecutar el comando en una consola de comandos en Windows 10, el usuario verá un mensaje de error con el texto «El fichero o directorio está corrupto y no puede ser leído». Windows 10 inmediatamente empezará a desplegar notificaciones indicando al usuario que debe reiniciar su equipo para intentar reparar el disco afectado.
Fuente: FlyTech Videos
Dado que este fallo no ha sido solventado a día de hoy, OSR, una empresa de desarrollo especializada en Windows Internals, ha liberado un driver filter de código abierto que previene la vulnerabilidad en sistemas NTFS. Este filtro, llamado «i30Flt», monitoreará los intentos de acceder a las instrucciones que comiencen por «:$i30:», y cuando sean detectados, serán bloqueados antes de ocasionar un compromiso en los discos.
Las recomendaciones de seguridad para los usuarios de NTFS y Windows 10 son:
- Aplicar el parche de seguridad ofrecido por el equipo de desarrollo OSR Esta acción se deja a discresión del usuario final, ya que a pesar de resolver la vulnerabilidad, este no es un parche oficial de Microsoft.
- Estar pendientes a futuros boletines de actualizaciones de seguridad de Microsoft. Es posible que este fallo sea solventado en el siguiente Tuesday Patch planeado para el próximo 09 de febrero.
Referencia: