Zero-Day NTFS Não Corrigido no Windows 10 Danifica Disco Rígido com uma Única Visualização de Arquivo
Índice:
O analista de segurança da informação Jonas L descobriu um erro alarmante no Windows 10 que pode corromper qualquer disco rígido (HD) que dependa da formatação NTFS. Uma falha de zero-day permanece sem correção, apesar de o pesquisador ter apontado isso desde o outono de 2020.
Análise de Vulnerabilidade NTFS
A vulnerabilidade de zero-day NTFS existe no Windows 10 build 1803, a Atualização de Abril de 2018 do Windows 10, e ainda é aplicável na última versão do sistema operacional. A falha pode ser explorada por um usuário sem direitos de administrador no sistema, tornando o erro crítico.
De acordo com a descrição da vulnerabilidade NTFS pelos pesquisadores, o zero-day pode ser acionado por um comando de uma linha. Além disso, abrir um arquivo ou simplesmente visualizar um ícone especialmente formatado pode resultar em danos ao HD. Particularmente, o erro está relacionado ao Atributo Índice NTFS “$i30” do Windows. Uma vez que um usuário executa o comando com o atributo NTFS “$i30”, o sistema corrói imediatamente o disco rígido e solicita ao usuário que inicie uma reinicialização necessária para corrigir a unidade de armazenamento danificada. No entanto, frequentemente os arquivos danificados são difíceis de recuperar, e a tabela mestre de arquivos (MFT) do disco permanece danificada também.
Exploitação do Zero-Day NTFS
A vulnerabilidade presume múltiplos métodos de exploração. Por exemplo, atores de ameaça podem entregar comandos maliciosos de atributo de índice NTFS via atalhos do Windows, arquivos ZIP ou grandes lotes de arquivos legítimos. A falha é explorável mesmo se o usuário não clicar duas vezes no arquivo, mas apenas abrir a pasta onde ele está localizado. Portanto, a tarefa mais complicada na rotina de ataque é entregar o arquivo de atalho do Windows para o sistema. Os atores de ameaça só precisam produzir um engano convincente que leve os usuários a extrair um arquivo ZIP ou carregar um pacote de arquivos.
Detecção e Mitigação de Vulnerabilidade NTFS
A equipe de engenheiros de caçadores de ameaças da SOC Prime desenvolveu um exploit de prova de conceito (PoC) para este zero-day NTFS e lançou uma regra Sigma para detecção proativa. Você pode baixar o item de conteúdo do nosso Mercado de Detecção de Ameaças e ficar seguro enquanto aguarda o patch oficial:
https://tdm.socprime.com/tdm/info/kJwEoozBjpwh/O89OAXcBTwmKwLA90ARl/
Para aprimorar a detecção desta desagradável falha NTFS, confira o conteúdo fresco da SOC lançado pelo nosso desenvolvedor de Bounty de Ameaças Furkan Celik em 22 de janeiro de 2021:
https://tdm.socprime.com/tdm/info/aRQYhKyh9X9W/sKecKncBR-lx4sDx-iqM/
As regras têm traduções para as seguintes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio.
EDR: Microsoft Defender ATP, Carbon Black
MITRE ATT&CK:
Táticas: Impacto
Técnicas: Destruição de Dados (T1485)
Continuaremos a atualizar este post no blog com informações relacionadas ao patch oficial, possíveis mitigacões do fornecedor e regras de detecção adicionais da nossa equipe.
Obtenha uma assinatura gratuita do Mercado de Detecção de Ameaças para acessar mais conteúdo SOC curado para detecção proativa de ataques. Sinta-se à vontade para criar suas próprias regras Sigma, sinta-se bem-vindo para participar do Programa de Bounty de Ameaças para aprimorar nossas iniciativas de caça às ameaças.
