Ungepatchter NTFS Zero-Day in Windows 10 beschädigt Festplatte beim Anzeigen einer einzigen Datei
Inhaltsverzeichnis:
Der Informationssicherheitsanalyst Jonas L hat einen alarmierenden Fehler in Windows 10 entdeckt, der jede Festplatte (HD), die auf dem NTFS-Format beruht, beschädigen könnte. Eine Zero-Day-Sicherheitslücke bleibt ungepatcht, obwohl der Forscher seit Herbst 2020 darauf hingewiesen hat. hingewiesen darauf seit Herbst 2020.
Analyse der NTFS-Sicherheitslücke
Die NTFS-Zero-Day-Sicherheitslücke existiert in Windows 10 Build 1803, dem Windows 10 April 2018 Update, und ist auch in der letzten Betriebssystemversion anwendbar. Die Schwachstelle kann von einem Benutzer ohne Admin-Rechte im System ausgenutzt werden, was den Fehler kritisch macht.
Laut der NTFS-Vulnerabilitätsbeschreibung der Forscher könnte der Zero-Day durch einen Einzeilenbefehl ausgelöst werden. Zudem könnte das Öffnen einer Datei oder das einfache Betrachten eines speziell formatierten Icons zu HD-Schäden führen. Insbesondere ist der Fehler mit dem „$i30“-NTFS-Indexattribut von Windows verbunden. Sobald ein Benutzer den Befehl mit dem „$i30“-NTFS-Attribut ausführt, beschädigt das System sofort die Festplatte und fordert den Benutzer auf, einen Neustart durchzuführen, um die beschädigte Speicherelement zu reparieren. Häufig sind jedoch die beschädigten Dateien schwer wiederherstellbar und die Master File Table (MFT) der Festplatte bleibt ebenfalls beschädigt.
NTFS-Zero-Day-Ausnutzung
Die Sicherheitslücke setzt mehrere Ausnutzungsmethoden voraus. Beispielsweise könnten Bedrohungsakteure schädliche NTFS-Indexattributbefehle über Windows-Verknüpfungen, ZIP-Archive oder große Mengen legitimer Dateien übermitteln. Die Schwachstelle ist sogar ausnutzbar, wenn der Benutzer die Datei nicht doppelt anklickt, sondern nur den Ordner öffnet, in dem sie sich befindet. Daher besteht die komplizierteste Aufgabe in der Angriffsroutine darin, die Windows-Verknüpfungsdatei an das System zu übermitteln. Bedrohungsakteure müssen lediglich einen überzeugenden Köder produzieren, der die Benutzer dazu bringt, ein ZIP-Archiv zu extrahieren oder ein Dateibündel zu laden.
Erkennung und Minderung der NTFS-Sicherheitslücke
Das SOC Prime-Team von Threat-Hunting-Ingenieuren hat einen Proof-of-Concept (PoC)-Exploit für diesen NTFS-Zero-Day entwickelt und eine Sigma-Regel für die proaktive Erkennung veröffentlicht. Sie können das Inhaltselement von unserem Threat Detection Marketplace herunterladen und in Sicherheit bleiben, während Sie auf den offiziellen Patch warten:
https://tdm.socprime.com/tdm/info/kJwEoozBjpwh/O89OAXcBTwmKwLA90ARl/
Um die Erkennung dieser unangenehmen NTFS-Schwachstelle zu verbessern, überprüfen Sie die neuen SOC-Inhalte, die von unserem Threat-Bounty-Entwickler Furkan Celik am 22. Januar 2021 veröffentlicht wurden:
https://tdm.socprime.com/tdm/info/aRQYhKyh9X9W/sKecKncBR-lx4sDx-iqM/
Die Regeln sind für die folgenden Plattformen übersetzt:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio.
EDR: Microsoft Defender ATP, Carbon Black
MITRE ATT&CK:
Taktiken: Einfluss
Techniken: Datenzerstörung (T1485)
Wir werden diesen Blogbeitrag kontinuierlich mit Informationen zum offiziellen Patch, möglichen Mitigations vom Anbieter und zusätzlichen Erkennungsregeln von unserem Team aktualisieren.
Erhalten Sie ein kostenloses Abonnement für den Threat Detection Marketplace, um mehr kuratierte SOC-Inhalte für die proaktive Angriffserkennung zu erreichen. Fühlen Sie sich bereit, Ihre eigenen Sigma-Regeln zu erstellen, und treten Sie gerne bei um dem Threat Bounty Program unsere Threat-Hunting-Initiativen zu verbessern.
