Zero-Day NTFS Non Risolto in Windows 10 Danneggia il Disco Rigido con una Sola Visualizzazione del File
Indice:
L’analista della sicurezza informatica Jonas L ha scoperto un bug allarmante in Windows 10 che potrebbe corrompere qualsiasi disco rigido (HD) basato sulla formattazione NTFS. Una vulnerabilità zero-day rimane non corretta nonostante il ricercatore abbia sottolineato ciò dall’autunno 2020.
Analisi della vulnerabilità NTFS
La vulnerabilità zero-day di NTFS esiste in Windows 10 build 1803, nell’aggiornamento di aprile 2018 di Windows 10, ed è ancora applicabile nell’ultima versione del sistema operativo. Il difetto potrebbe essere sfruttato da un utente senza diritti di amministratore sul sistema, rendendo il bug critico.
Secondo la descrizione della vulnerabilità NTFS dai ricercatori, lo zero-day potrebbe essere attivato tramite un comando a una riga. Inoltre, aprire un file o semplicemente visualizzare un’icona formattata in modo speciale potrebbe causare danni al HD. In particolare, il bug è legato all’attributo indice NTFS di Windows “$i30”. Una volta che un utente esegue il comando con l’attributo NTFS “$i30”, il sistema danneggia immediatamente il disco rigido e esorta l’utente a eseguire un riavvio necessario per correggere l’unità di archiviazione danneggiata. Tuttavia, spesso i file danneggiati sono difficili da recuperare e anche la tabella dei file master del disco (MFT) rimane danneggiata.
Sfruttamento della vulnerabilità NTFS zero-day
La vulnerabilità presuppone metodi multipli di sfruttamento. Ad esempio, gli attori della minaccia potrebbero consegnare comandi malevoli dell’attributo indice NTFS tramite scorciatoie Windows, archivi ZIP o grandi quantità di file legittimi. La vulnerabilità è sfruttabile anche nel caso in cui l’utente non faccia doppio clic sul file ma apra solo la cartella in cui si trova. Pertanto, il compito più complicato nella routine di attacco è consegnare il file di scorciatoia Windows al sistema. Gli attori della minaccia devono solo produrre una esca convincente che inviti gli utenti a estrarre un archivio ZIP o caricare un pacchetto di file.
Rilevamento e mitigazione della vulnerabilità NTFS
Il team di ingegneri di threat hunting di SOC Prime ha sviluppato un exploit proof-of-concept (PoC) per questa vulnerabilità zero-day NTFS e ha rilasciato una regola Sigma per il rilevamento proattivo. Puoi scaricare l’elemento di contenuto dal nostro Threat Detection Marketplace e rimanere al sicuro in attesa della patch ufficiale:
https://tdm.socprime.com/tdm/info/kJwEoozBjpwh/O89OAXcBTwmKwLA90ARl/
Per migliorare il rilevamento di questa fastidiosa vulnerabilità NTFS, consulta i nuovi contenuti SOC rilasciati dal nostro sviluppatore di Threat Bounty Furkan Celik il 22 gennaio 2021:
https://tdm.socprime.com/tdm/info/aRQYhKyh9X9W/sKecKncBR-lx4sDx-iqM/
Le regole hanno traduzioni per le seguenti piattaforme:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio.
EDR: Microsoft Defender ATP, Carbon Black
MITRE ATT&CK:
Tattiche: Impatto
Tecniche: Distruzione dei dati (T1485)
Aggiorneremo continuamente questo post del blog con le informazioni relative alla patch ufficiale, alle eventuali mitigazioni del vendor e alle regole di rilevamento aggiuntive del nostro team.
Ottieni un abbonamento gratuito al Threat Detection Marketplace per accedere a più contenuti SOC curati per il rilevamento proattivo degli attacchi. Sentiti pronto a creare le tue regole Sigma, sei il benvenuto a unirti al Threat Bounty Program per migliorare le nostre iniziative di threat hunting.
