Windows 10の未修正のNTFSゼロデイ脆弱性が単一ファイルの表示でハードドライブを破損

情報セキュリティアナリスト ジョナス・L は、Windows 10において、NTFS形式に依存するハードドライブ（HD）を破損する可能性のある深刻なバグを発見しました。リサーチャーによって 指摘されていたにもかかわらず 、2020年秋から未修正のゼロデイの脆弱性です。

NTFS脆弱性解析

NTFSのゼロデイ脆弱性は、Windows 10ビルド1803、Windows 10 2018年4月のアップデートに存在し、最新のOSバージョンにも適用されます。この脆弱性は、システム上で管理者権限を持たないユーザーによって悪用される可能性があり、このバグを重大なものにしています。

研究者らによるNTFS脆弱性の説明によれば、ゼロデイは1行のコマンドでトリガーされる可能性があります。さらに、ファイルのオープンや特定のフォーマットのアイコンを見るだけで、HDの損傷を引き起こすことがあります。特に、このバグは「$i30」Windows NTFSインデックス属性に関連しています。ユーザーが「$i30」NTFS属性を使用してコマンドを実行すると、システムはすぐにハードドライブを破損し、損傷したストレージユニットを修復するために再起動を求めます。しかし、多くの場合、損傷したファイルは復旧が難しく、ディスクのマスターファイルテーブル（MFT）も損傷したままです。

NTFSゼロデイの悪用

この脆弱性は、多数の悪用方法を前提としています。例えば、脅威アクターは、Windowsショートカット、ZIPアーカイブ、または正当なファイルの大規模バッチを使用して悪意のあるNTFSインデックス属性コマンドを配信する可能性があります。この脆弱性は、ユーザーがファイルをダブルクリックせず、そのフォルダーを開くだけでも悪用されることがあります。したがって、攻撃ルーチンで最も複雑なタスクは、Windowsショートカットファイルをシステムに配信することです。脅威アクターは、ユーザーがZIPアーカイブを解凍するか、ファイルの束を読み込むように促す説得力のある誘いを作成するだけで済みます。

NTFS脆弱性の検出と緩和

SOC Primeの脅威ハンティングエンジニアのチームは、このNTFSゼロデイの概念実証（PoC）のエクスプロイトを開発し、プロアクティブ検出のためのSigmaルールをリリースしました。公式のパッチを待つ間、安全を保つために弊社の「Threat Detection Marketplace」からコンテンツアイテムをダウンロードできます: 

https://tdm.socprime.com/tdm/info/kJwEoozBjpwh/O89OAXcBTwmKwLA90ARl/

この厄介なNTFSの欠陥検出を強化するため、2021年1月22日に我々のThreat Bounty開発者Furkan Celikがリリースした最新のSOCコンテンツを確認してください: 

https://tdm.socprime.com/tdm/info/aRQYhKyh9X9W/sKecKncBR-lx4sDx-iqM/

ルールは以下のプラットフォームに翻訳されています: 

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio.

EDR: Microsoft Defender ATP, Carbon Black

MITRE ATT&CK: 

戦術: Impact

技術: Data Destruction (T1485)

公式パッチに関連する情報、ベンダーからの可能な緩和策、チームからの追加検出ルールと共にこのブログを継続的に更新します。 

無料サブスクリプションを取得 して、より多くのキュレーションされたSOCコンテンツにアクセスし、プロアクティブな攻撃検出を行いましょう。独自のSigmaルールを作成する準備が整ったら、ぜひ 脅威バウンティプログラムに参加 して、私たちの脅威ハンティングイニシアチブを強化してください。