{"id":241724,"date":"2021-01-14T11:58:28","date_gmt":"2021-01-14T10:58:28","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=241724"},"modified":"2021-01-26T08:42:29","modified_gmt":"2021-01-26T07:42:29","slug":"windows-10-schwachstelle-ermglicht-ntfs-medieninhalte-zu-zerstren","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/01\/14\/windows-10-schwachstelle-ermglicht-ntfs-medieninhalte-zu-zerstren\/","title":{"rendered":"Windows 10: Schwachstelle ermöglicht NTFS-Medieninhalte zu zerstören"},"content":{"rendered":"

[English<\/a>]In der von Windows 10 benutzten Implementierung des NTFS-Dateisystem gibt es eine bisher ungepatchte Schwachstelle. \u00dcber diese Schwachstelle ist es Angreifern m\u00f6glich, den Inhalt eines unter Windows 10 verwendeten NTFS-Datentr\u00e4gers zu zerst\u00f6ren. Es reicht, eine entsprechend pr\u00e4parierte Datei auf einem NTFS-Datentr\u00e4ger abzulegen, um den Fehler auszul\u00f6sen. Ein Sicherheitsforscher hat jetzt zum wiederholten Mal darauf hingewiesen.<\/p>\n

<\/p>\n

\"\"Ich habe die letzte Offenlegung von @jonasLyk<\/a> vom 9. Januar 2021 auf Twitter mal herausgezogen – siehe nachfolgender Tweet<\/a>. Der Zugriff auf einen pr\u00e4parierten Ordner reicht zur Ausnutzung der Schwachstelle. Das Ganze kann remote (z.B. Download einer pr\u00e4parierten Verkn\u00fcpfungsdatei oder eines ZIP-Archivs) getriggert werden.<\/p>\n

\"Windows<\/a><\/p>\n

Jonas L. hatte bereits im August 2020 sowie im Oktober 2020 \u00f6ffentlich auf diese NTFS-Schwachstelle aufmerksam gemacht, ohne dass etwas passierte. Daher hat er sich an Bleeping Computer gewandt, die das getestet und dann in diesem Artikel<\/a> offen gelegt haben.<\/p>\n

Ein knapper Befehl reicht<\/h2>\n

Einem Angreifer, der diese Schwachstelle ausnutzt, reicht ein einzeiliger Befehl, um eine NTFS-formatierte Festplatte zu besch\u00e4digen. Dazu kann eine pr\u00e4parierte Datei (auch remote) auf dem betreffenden Laufwerk in einem Ordner abgelegt werden. Sobald diese Datei gelesen wird, fordert Windows den Benutzer auf, den Computer neu zu starten, um die besch\u00e4digten Festplatteneintr\u00e4ge zu reparieren.<\/p>\n

Bleeping Computer gibt hier einen Befehl<\/a> als Beispiel f\u00fcr einen solchen Trigger an, warnt aber davor, dass auf einem System zu testen. Denn das NTFS-Laufwerk ist anschlie\u00dfend m\u00f6glicherweise nicht mehr lesbar und verloren. Nach dem Ausf\u00fchren des Befehls in der Windows 10-Eingabeaufforderung wird sofort der Fehler: \"Die Datei oder das Verzeichnis ist besch\u00e4digt und nicht lesbar.\" angezeigt. Zum Testen sollte man eine virtuelle Maschine verwenden.<\/p>\n

Der gezeigte Befehl greift auf das $130-Attribut eines NTFS-Datentr\u00e4gers<\/a> zu. \u00dcber dieses $I30-Attribut\u00a0 verwaltet das NTFS-Dateisystem einen Index aller Dateien\/Unterverzeichnisse, die zu einem Verzeichnis geh\u00f6ren.<\/p><\/blockquote>\n

Aktuell ist unklar, warum der Zugriff auf dieses Attribut das Laufwerk besch\u00e4digt. Gegen\u00fcber Bleeping Computer sagte Jonas L.: 'Ich habe keine Ahnung, warum der Zugriff auf das Attribut die NTFS-Volumes besch\u00e4digt. Es w\u00e4re eine Menge Arbeit, das herauszufinden, weil der Reg-Schl\u00fcssel, der bei Besch\u00e4digung einen BSOD ausl\u00f6sen sollte, nicht funktioniert. Also \u00fcberlasse ich das den Leuten, die den Quellcode haben.'<\/p>\n

Es reicht, eine entsprechend pr\u00e4parierte Datei (z.B. .lnk-Datei) auf einem NTFS-Laufwerk abzulegen (die Daten braucht nicht ge\u00f6ffnet zu werden), um den Fehler zu triggern. Denkbar w\u00e4ren auch pr\u00e4parierte ZIP-Archive, die beim Entpacken den Fehler ausl\u00f6sen. Nachdem die Laufwerke besch\u00e4digt wurden, erzeugt Windows 10 Fehler im Ereignisprotokoll, die besagen, dass die Master File Table (MFT) f\u00fcr das jeweilige Laufwerk einen besch\u00e4digten Datensatz enth\u00e4lt.<\/p>\n

Bug ab Windows 10 Version 1803<\/h2>\n

Wie Jonas L. gegen\u00fcber Bleeping Computer angab, konnte er den Fehler in Windows 10 Version 1803 ausnutzen. Der Fehler soll auch bis zur aktuellen Version 20H2 weiterhin ausnutzbar sein. Bleeping Computer schreibt im Artikel, das Quellen aus Kreisen von Sicherheitsforschern sagen, das solche schwerwiegende Sicherheitsl\u00fccken wie diese schon seit Jahren bekannt sind. Die Bugs wurden Microsoft schon fr\u00fcher gemeldet, wurden aber aber nicht behoben.<\/p>\n

Bleeping Computer hat bei Microsoft nachgefragt, um zu erfahren, ob sie bereits von dem Fehler wussten und ob sie den Fehler beheben w\u00fcrden.\u00a0 Die Antwort: \"Microsoft hat sich gegen\u00fcber seinen Kunden verpflichtet, gemeldete Sicherheitsprobleme zu untersuchen und wir werden so schnell wie m\u00f6glich Updates f\u00fcr betroffene Ger\u00e4te bereitstellen.\" Bilde dir deinen eigenen Reim drauf.<\/p>\n

Erg\u00e4nzung:<\/strong> Es gibt einen inoffiziellen Fix\/Workaround, siehe\u00a0Windows 10 NTFS-Bug erh\u00e4lt inoffiziellen Fix von OSR<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]In der von Windows 10 benutzten Implementierung des NTFS-Dateisystem gibt es eine bisher ungepatchte Schwachstelle. \u00dcber diese Schwachstelle ist es Angreifern m\u00f6glich, den Inhalt eines unter Windows 10 verwendeten NTFS-Datentr\u00e4gers zu zerst\u00f6ren. Es reicht, eine entsprechend pr\u00e4parierte Datei auf einem … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[301],"tags":[1064,24,3288],"class_list":["post-241724","post","type-post","status-publish","format-standard","hentry","category-windows","tag-ntfs","tag-problem","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/241724","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=241724"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/241724\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=241724"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=241724"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=241724"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}