Faille Zero-Day NTFS Non Corrigée dans Windows 10 Endommage le Disque Dur avec une Seule Visualisation de Fichier

L’analyste en sécurité de l’information Jonas L a découvert un bug alarmant dans Windows 10 qui pourrait corrompre n’importe quel disque dur (HD) utilisant le formatage NTFS. Une faille zero-day reste non corrigée malgré que le chercheur l’ait soulignée depuis l’automne 2020.

Analyse de la vulnérabilité NTFS

La vulnérabilité zero-day NTFS existe dans Windows 10 version 1803, la mise à jour Windows 10 d’avril 2018, et elle est toujours applicable dans la dernière version du système d’exploitation. La faille pourrait être exploitée par un utilisateur sans aucun droit d’administration sur le système, rendant le bug critique.

Selon la description de la vulnérabilité NTFS par les chercheurs, la faille zero-day pourrait être déclenchée via une commande en une ligne. De plus, ouvrir un fichier ou simplement visualiser une icône spécialement formatée pourrait endommager le HD. En particulier, le bug est lié à l’attribut d’index NTFS Windows « $i30 ». Une fois qu’un utilisateur exécute la commande avec l’attribut NTFS « $i30 », le système corrompt immédiatement le disque dur et incite l’utilisateur à lancer un redémarrage nécessaire pour réparer l’unité de stockage endommagée. Cependant, souvent, les fichiers endommagés sont difficiles à récupérer, et la table des fichiers maîtres (MFT) du disque reste également endommagée.

Exploitation Zero-Day NTFS

La vulnérabilité implique plusieurs méthodes d’exploitation. Par exemple, les acteurs malveillants pourraient délivrer des commandes d’attribut d’index NTFS malveillantes via des raccourcis Windows, des archives ZIP ou des lots de fichiers légitimes. La faille est exploitable même si l’utilisateur ne double-clique pas sur le fichier mais ouvre seulement le dossier où il se trouve. Par conséquent, la tâche la plus compliquée dans la routine d’attaque est de livrer le raccourci Windows au système. Les acteurs malveillants n’ont qu’à produire un leurre convaincant incitant les utilisateurs à extraire une archive ZIP ou à charger un ensemble de fichiers.

Détection et atténuation de la vulnérabilité NTFS

L’équipe d’ingénieurs en chasse aux menaces de SOC Prime a développé un exploit proof-of-concept (PoC) pour cette zero-day NTFS et a publié une règle Sigma pour une détection proactive. Vous pouvez télécharger cet élément de contenu depuis notre Marché de Détection des Menaces et rester en sécurité en attendant le correctif officiel : 

https://tdm.socprime.com/tdm/info/kJwEoozBjpwh/O89OAXcBTwmKwLA90ARl/

Pour améliorer la détection de cette fâcheuse vulnérabilité NTFS, vérifiez le contenu SOC récent publié par notre développeur de prime pour les menaces, Furkan Celik, le 22 janvier 2021 :

https://tdm.socprime.com/tdm/info/aRQYhKyh9X9W/sKecKncBR-lx4sDx-iqM/

Les règles ont des traductions pour les plates-formes suivantes : 

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio.

EDR : Microsoft Defender ATP, Carbon Black

MITRE ATT&CK: 

Tactiques : Impact

Techniques : Destruction de données (T1485)

Nous mettrons continuellement à jour cet article de blog avec des informations relatives au correctif officiel, aux atténuations possibles du fournisseur, et aux règles de détection supplémentaires de notre équipe. 

Obtenez un abonnement gratuit au Marché de Détection des Menaces pour accéder à plus de contenu SOC sélectionné pour une détection proactive des attaques. Si vous vous sentez prêt à créer vos propres règles Sigma, n’hésitez pas à rejoindre le Programme de Prime pour les Menaces pour renforcer nos initiatives de chasse aux menaces.