Zero-Day en Windows 10 sin parche en NTFS daña el disco duro con una sola vista de archivo

El analista de seguridad de la información Jonas L ha descubierto un error alarmante en Windows 10 que podría corromper cualquier disco duro (HD) que dependa del formato NTFS. Una vulnerabilidad de día cero permanece sin parchear a pesar de que el investigador ha señalado a ella desde otoño de 2020.

Análisis de la Vulnerabilidad NTFS

La vulnerabilidad de día cero de NTFS existe en la compilación 1803 de Windows 10, la Actualización de Abril de 2018 de Windows 10, y todavía es aplicable en la última versión del OS. La falla podría ser explotada por un usuario sin ningún derecho administrativo en el sistema, haciendo que el error sea crítico.

Según la descripción de la vulnerabilidad NTFS de los investigadores, el día cero podría dispararse mediante un comando de una línea. Además, abrir un archivo o simplemente visualizar un icono especialmente formateado podría resultar en daño al HD. Particularmente, el error está vinculado al Atributo Índice “$i30” de NTFS de Windows. Una vez que un usuario ejecuta el comando con el atributo NTFS “$i30”, el sistema inmediatamente corrompe el disco duro e insta al usuario a iniciar un reinicio necesario para reparar la unidad de almacenamiento dañada. Sin embargo, con frecuencia los archivos dañados son difíciles de recuperar, y la tabla maestra de archivos (MFT) del disco permanece dañada también.

Explotación de Día Cero de NTFS

La vulnerabilidad presume múltiples métodos de explotación. Por ejemplo, los actores de amenazas podrían entregar comandos maliciosos de atributo de índice NTFS mediante accesos directos de Windows, archivos ZIP, o grandes lotes de archivos legítimos. La falla es explotable incluso si el usuario no hace doble clic en el archivo, sino que solo abre la carpeta en la que está ubicado. Por lo tanto, la tarea más complicada en la rutina de ataque es entregar el archivo de acceso directo de Windows al sistema. Los actores de amenazas solo necesitan producir un señuelo convincente que invite a los usuarios a extraer un archivo ZIP o cargar un conjunto de archivos.

Detección y Mitigación de la Vulnerabilidad NTFS

El equipo de ingenieros de caza de amenazas de SOC Prime ha desarrollado un exploit de prueba de concepto (PoC) para este día cero de NTFS y ha publicado una regla Sigma para la detección proactiva. Puedes descargar el contenido desde nuestro Mercado de Detección de Amenazas y mantenerte seguro mientras esperas el parche oficial: 

https://tdm.socprime.com/tdm/info/kJwEoozBjpwh/O89OAXcBTwmKwLA90ARl/

Para mejorar la detección de esta desagradable falla de NTFS, revisa el nuevo contenido de SOC lanzado por nuestro desarrollador de Threat Bounty Furkan Celik  el 22 de enero de 2021:

https://tdm.socprime.com/tdm/info/aRQYhKyh9X9W/sKecKncBR-lx4sDx-iqM/

Las reglas tienen traducciones para las siguientes plataformas: 

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio.

EDR: Microsoft Defender ATP, Carbon Black

MITRE ATT&CK: 

Tácticas: Impacto

Técnicas: Destrucción de Datos (T1485)

Continuamente actualizaremos esta publicación del blog con la información relacionada con el parche oficial, posibles mitigaciones del proveedor, y reglas de detección adicionales de nuestro equipo. 

Obtén una suscripción gratuita al Mercado de Detección de Amenazas para acceder a más contenido SOC curado para la detección proactiva de ataques. Siéntete libre de crear tus propias reglas Sigma, sé bienvenido a unirte al Programa Bounty de Amenazas para mejorar nuestras iniciativas de caza de amenazas.