Lỗ hổng 0-day trên Windows 10 làm hỏng ổ cứng

vpn

Well-Known Member
10/09/2019
20
52 bài viết
Lỗ hổng 0-day trên Windows 10 làm hỏng ổ cứng
Một lỗ hổng 0-day chưa được vá trong hệ điều hành Microsoft Windows 10 cho phép kẻ tấn công làm hỏng ổ cứng có định dạng NTFS chỉ bằng một dòng lệnh.
windows-10-glass-broken (1).jpg
Kết quả nhiều lần thử nghiệm bởi BleepingComputer cho thấy one-liner này có thể được ẩn bên trong tệp shortcut của Windows, tệp nén ZIP, tệp batch hoặc nhiều hình thức khác để kích hoạt lỗi ổ cứng làm hỏng index của filesystem ngay lập tức.

Lỗ hổng NTFS "bị đánh giá thấp"
Vào tháng 8 năm 2020, tháng 10 năm 2020 và mới nhất là vào tuần trước, nhà nghiên cứu bảo mật Jonas L đã gây chú ý khi công bố một lỗ hổng NTFS ảnh hưởng đến Windows 10 chưa được vá.

Lỗ hổng này có thể bị khai thác thông quan một dòng lệnh, dẫn đến làm hỏng ngay lập tức ổ cứng có định dạng NTFS, đồng thời Windows sẽ nhắc người dùng khởi động lại máy tính để sửa các bản ghi đĩa bị hỏng.

Theo nhà nghiên cứu Jonas L, lỗ hổng này có thể bị khai thác từ Windows 10 bản 1803, Bản cập nhật Windows 10 tháng 4 năm 2018 và thậm chí trong phiên bản mới nhất.

Điều tồi tệ hơn là người dùng tiêu chuẩn (standard) và có đặc quyền thấp (low privileged) có thể triển khai việc tấn công trên hệ thống Windows 10.

tweet.jpg

Dòng tweet của Jonas về một lỗ hổng "bị đánh giá thấp"
Việc truy cập attribute (thuộc tính) $i30 NTFS trên một thư mục theo cách thức nhất định có thể làm hỏng ổ đĩa.
WARNING! Việc thực thi lệnh dưới đây trên hệ thống đang hoạt động sẽ làm hỏng ổ đĩa và có thể không thể truy cập được ổ đĩa. CHỈ kiểm tra lệnh này trong một máy ảo mà bạn có thể khôi phục về Snapshot trước đó nếu ổ đĩa bị hỏng.

Dưới đây là ví dụ một lệnh làm hỏng ổ đĩa.
Mã:
cd c:\:$i30:$bitmap
Thuộc tính chỉ mục NTFS của Windows, hoặc chuỗi '$i30', là một thuộc tính NTFS liên kết với các thư mục chứa danh sách các tệp và thư mục con. Trong một số trường hợp, Chỉ mục NTFS cũng có thể bao gồm các tệp và thư mục đã xóa, rất hữu ích khi tiến hành phản hồi sự cố hoặc điều tra số.

Không rõ vì sao việc truy cập thuộc tính này lại làm hỏng ổ đĩa và Jonas cho biết Registry key giúp phát hiện vấn đề.

Sau khi chạy lệnh trong cửa sổ lệnh Windows 10 và nhấn Enter, người dùng sẽ thấy thông báo lỗi như sau:
"The file or directory is corrupted and unreadable."

Windows 10 sẽ ngay lập tức hiển thị thông báo nhắc người dùng khởi động lại PC và sửa ổ đĩa bị hỏng. Khi khởi động lại, tiện tích Windows kiểm tra disk chạy và bắt đầu sửa ổ cứng, được minh họa trong video dưới đây:
Sau khi ổ đĩa bị hỏng, Windows 10 sẽ tạo ra lỗi trong Event Log thông báo Master File Table (MFT) trong một ổ đĩa cụ thể có chứa bản ghi bị hỏng.
event-viewer.jpg

Log Event Viewer hiển thị lỗi NTFS từ lệnh
Các thử nghiệm của BleepingComputer cũng cho thấy có thể chạy lệnh này trên bất kỳ ổ đĩa nào, không chỉ ổ đĩa C: và khiến ổ đĩa sau đó bị hỏng.

Các cách tinh vi hơn để khai thác zero-day
Trong các thử nghiệm, kẻ tấn công có thể khai thác lệnh trong nhiều PoC khác nhau.

Một phát hiện nổi bật được Jonas chia sẻ là một tệp Windows shortcut (.url) có vị trí icon được đặt tại C:\:$i30: $bitmap sẽ kích hoạt lỗ hổng mà không cần bất kỳ tương tác nào từ người dùng.

Ngay sau khi tệp Shortcut này được tải xuống trên máy tính chạy Windows 10 và người dùng xem thư mục chứa tệp này, Windows Explorer sẽ hiển thị icon của tệp.

Để thực hiện việc này, Windows Explorer sẽ truy cập vào đường dẫn icon trong tệp ở background, do đó làm hỏng ổ cứng định dạng NTFS trong process này.

Tiếp theo, thông báo "restart to repair hard drive" xuất hiện trên máy chạy Windows mà không cần người dùng mở hoặc nhấp đúp vào tệp Shortcut.

Truyền payload thông qua tệp nén ZIP, tệp HTML và các cách thức khác
Kẻ tấn công cũng có thể chuyển payload này theo nhiều cách khác nhau tới nạn nhân.

Mặc dù chính sách same-origin trên hầu hết các trình duyệt sẽ hạn chế các cuộc tấn công triển khai từ máy chủ từ xa (ví dụ: tham chiếu tài liệu HTML từ xa file:///C:/:$i30:$bitmap), vẫn tồn tại những cách thức vượt qua được hạn chế này.

Theo nhà nghiên cứu Jonas L, có rất nhiều cách thức khai thác từ xa lỗ hổng như thông qua các trang HTML nhúng tài nguyên từ việc chia sẻ mạng hoặc các drive có tham chiếu đến đường dẫn $i30 .

Trong một số trường hợp, theo nhà nghiên cứu, có thể làm hỏng NTFS Master File Table (MFT) .

Trong một số thử nghiệm, sau khi tiện ích chkdsk của Windows 10 đã "sửa chữa" các lỗi ổ cứng khi khởi động lại, nội dung của tệp khai thác, trong trường hợp này là tệp Windows shortcut được tạo thủ công với icon được đặt thành C:\:$i30:$bitmap sẽ bị xóa và thay thế bằng các byte trống.

Điều này có nghĩa là tệp Windows shortcut có thể thực hiện một cuộc tấn công one-off.

Bên cạnh đó, nạn nhân không thể tải xuống tệp Windows shortcut (.url) từ Internet.

Để làm cho cuộc tấn công thực tế hơn, tin tặc có thể lừa người dùng tải xuống tệp nén ZIP để phát tán tệp đặc biệt.

Ví dụ, kẻ tấn công có thể âm thầm đưa tệp Windows shortcut độc hại cùng nhiều tệp hợp pháp vào bên trong tệp nén ZIP.

Không chỉ nhiều khả năng người dùng tải xuống tệp ZIP hơn, mà tệp ZIP có khả năng kích hoạt việc khai thác mỗi khi được giải nén.
zip_archive_ntfs_perpetual_attack.jpg

Kích hoạt lỗi NTFS thông qua tệp nén ZIP

Nguyên nhân từ việc nội dung nén (và có thể được mã hóa) của tệp ZIP, bao gồm Windows shortcut, sẽ không kích hoạt việc khai thác trừ khi được giải nén.

Ngay cả sau khi được giải nén, quá trình sửa chữa ổ cứng sẽ làm trống tệp Windows shortcut đã giải nén mà không cần bản sao nén bên trong tệp nén ZIP cho đến khi người dùng cố gắng giải nén lại tệp ZIP.

Theo nguồn tin từ cộng đồng bảo mật thông tin, những lỗ hổng nghiêm trọng như thế này đã được biết đến trong nhiều năm và báo cáo tới Microsoft nhưng vẫn chưa được vá.

BleepingComputer đã liên hệ với Microsoft để tìm hiểu vấn đề và nhận được phản hồi: “Microsoft cam kết sẽ điều tra các vấn đề bảo mật được báo cáo và chúng tôi sẽ cung cấp bản cập nhật cho các thiết bị bị ảnh hưởng trong thời gian sớm nhất".

Cập nhật ngày 15 tháng 1 năm 2021: Lỗ hổng NTFS này cũng ảnh hưởng đến các phiên bản Windows XP. Một người dùng cho biết đường dẫn "$i30" là một đường dẫn hợp lệ có thể được truy cập bằng bất kỳ cách nào khi người dùng truy cập vào thư mục C:\, nhưng việc truy cập trực tiếp theo cách được mô tả ở trên có thể gây ra sự cố chưa từng có.

Nguồn: BleepingComputer
 
Bên trên