Вход | Регистрация
 
Информационные технологии :: Администрирование

Новая уязвимость NTFS

Новая уязвимость NTFS
Я
   Провинциальный 1сник
 
16.01.21 - 07:46
Непривилегированный пользователь может повредить файловую систему одним обращением (в том числе через ярлык, даже не щелкая по нему), повреждение лечится чекдиском при перезагрузке.


https://www.bleepingcomputer.com/news/security/windows-10-bug-corrupts-your-hard-drive-on-seeing-this-files-icon/
https://habr.com/ru/news/t/537328/
   rphosts
 
1 - 16.01.21 - 08:50
да-да-да, на продактовом сервере сразу проверяйте
   ДедМорроз
 
2 - 16.01.21 - 11:42
Особенно печально,когда иконка в lnk ссылается на такой файл,ее требуется только отрисовать на экране и приплыли.
   Aleksey
 
3 - 16.01.21 - 14:14
а где там про повреждения?
   Aleksey
 
4 - 16.01.21 - 14:15
просто ошибка доступа, и флаг проверки диска. Т.е. ничего не ломается и не портиться. В чем проблема?
   NorthWind
 
5 - 16.01.21 - 15:03
(4) ну вообще она портит NTFS, причем до конца непонятно, насколько велик возможный "трек ошибки" драйвера. При неудачном стечении обстоятельств после лечения чекдиском можно просто не найти файлов в каталоге, где они были, или самого каталога.
   NorthWind
 
6 - 16.01.21 - 15:06
NTFS - это, конечно, не FAT, ее изгадить до такого состояния, чтобы потерялись записи о файлах, посложнее. Но возможно. У меня случаи были.
   Aleksey
 
7 - 16.01.21 - 15:12
(5) Ничего она не портит, просто файл выставляет что нужна проверка
   Aleksey
 
8 - 16.01.21 - 15:12
*файл = флаг
   Aleksey
 
9 - 16.01.21 - 15:15
Просто неудобство в виде необходимости лишний раз прогнать проверку диска, ниокакой порче, зависаниях, перезагрузки речь не идет
   Провинциальный 1сник
 
10 - 16.01.21 - 17:06
(7) Да сам по себе факт того, что юзер может нагадить в защищенные системные области файловой системы - это уже много
   Aleksey
 
11 - 16.01.21 - 17:07
(10) что значит "нагадить в защищенные системные области файловой системы"?
   Провинциальный 1сник
 
12 - 16.01.21 - 17:15
(11) То и значит. Испортить индекс NTFS путем вызова чтения определенного файла.
   Aleksey
 
13 - 16.01.21 - 17:23
(12) А кто сказал что она индекс портит?
   Aleksey
 
14 - 16.01.21 - 17:29
в статье "Учёный изнасиловал журналиста"
Потому что нет никаких доказательств , есть только ничем необоснованное мнение. Т.е. нигде не сказано что в результате исследование была подтверждена порча чего либо, сказано что запускается проверка диска, а значит по нашему мнению уязвимость портит файлы на диск, т.е. хайли лайкли
   NorthWind
 
15 - 16.01.21 - 18:32
(7) там драйвер работает непредусмотренным образом. Непонятно, какое решето может получиться из индекса.
   Aleksey
 
16 - 16.01.21 - 18:50
(15) А кт о сказал что индексы меняются? Журналисты?
   Бертыш
 
17 - 17.01.21 - 01:00
(0) Это ещё что. Есть новости и похлеще

Более 100 000 межсетевых экранов и VPN-шлюзов Zyxel содержат встроенный бэкдор
10:59 / 2 Января, 2021
Подробнее: https://www.securitylab.ru/news/515201.php
   ДедМорроз
 
18 - 17.01.21 - 13:31
Там просто при обращении к несуществующему индексу драйвер считает,что файловая система разрушена.
А потом,требуется немедленная перезагрузка и запуск проверки диска.
Так как индекса не было,то он и не появится,а с другими ничего не случится.
Но,тот факт,что при просмотре папки с файлом lnk,имеющим ссылку,создающую данную ошибку,оно срабатывает,даже не требуя открытия файла-это очень печально.
P.s.я обычно проверял пути на то,чтобы в них двоеточие было только после имени диска,и теперь понимаю,что это правильно.
   Cthulhu
 
19 - 17.01.21 - 14:47
(18): т.е. если не ярлык на раб.столе, который зацикливает эту ошибку, а просто командой испортить - то ребут с авто-чеком тупо проверяет и сбрасывает флаг без всяких последствий в дальнейшем?..
   oslokot
 
20 - 17.01.21 - 14:59
Меня интересует прежде всего главный момент: сможет ли обычный юзер сервака таким образом выполнить перезагрузку сервака?
   Aleksey
 
21 - 17.01.21 - 15:39
(20) нет
   Cthulhu
 
22 - 17.01.21 - 15:52
(21): но может таким образом заставить админа это сделать ... ))
   Aleksey
 
23 - 17.01.21 - 15:57
(22) покажи мне админа который с красными глазами смотрит журнал событий и как только появляется эта ошибка тут жет жмёт кнопку ресет
   Cthulhu
 
24 - 17.01.21 - 16:01
(23): фигу. ты покажи мне админа, который придя на работу (или подключившись к ней) и обнаружив на своем серваке эту байду - будет тупо ее игнорить а не ребутать сервак...
   Aleksey
 
25 - 17.01.21 - 16:02
(24) какую эту?
   Aleksey
 
26 - 17.01.21 - 16:13
Я не понимаю как ты представляешь сценарий этого действия.
Админ создал этот ярлык увидел последствия, испугался, обосрался, и после этого каждое утро перегружает сервак?

Или пользователь решил потролить админа, создал у себя ярлык, дождался сообщения и побежал звать админа со словами, я ничего не трогал оно само?

Админы не мониторят по утрам журнал событий. Когда все работает жалоб нет, зачем читать тонны муссора из журнала в поисках, а вдруг это все иллюзия и нужно перегрузить сервак.

Т.е. что именно и как должен обнаружить админ придя на работу?
   Cthulhu
 
27 - 17.01.21 - 16:38
(26): что-то ты не в теме.
юзер запустил эту команду в терминальной сессии адын рас, отключился и пошел домой...
   Aleksey
 
28 - 17.01.21 - 16:54
(27) И? У него локально выскочило это сообшения, другие даже не увидят его. Дальше что? Обычно админы тупо выкидывают ссесию или она умирает по таймауту. А у вас как? Админы перехватывают сесию, читают и запоминают все что открыто и только после этого закрывают?
   Aleksey
 
29 - 17.01.21 - 17:00
зашел у себя на сервер 2012r2 и на 2008r2 запустил командную строку и вписал туда
cd C:\:$i30:$bitmap
в ответ - неверно задано имя папки
   Aleksey
 
30 - 17.01.21 - 17:03
На домашнем компе, где старая 10-ка стоит
Файл или папка повреждены. Чтение невозможно.

При этом никаких сообщений нигде не выскочило
только в журнале события в разделе система 2 записи

Том C: (\Device\HarddiskVolume2) необходимо перевести в автономный режим для полной проверки диска.  Запустите команду "CHKDSK /F" локально с помощью командной строки либо выполните команду "REPAIR-VOLUME <диск:>" локально или удаленно с использованием PowerShell.

и

Обнаружено повреждение в структуре файловой системы на томе C:.

Основная таблица файлов (MFT) содержит поврежденную запись файла.  Номер ссылки файла: 0x5000000000005.  Имя файла: "\".


Т.е. я как пользователь даже не заметил ничего "страшного"
 
 Рекламное место пустует
   Aleksey
 
31 - 17.01.21 - 17:06
А нет в окне уведомления которая в левом правом углу под конвертиком надпись появилась
"Перегрузите чтобы устранить ошибки диска"

Просто она не приоритетное, а у меня стоит отображать только приоритетные поэтому я и не увидел с первого раза
   Cthulhu
 
32 - 17.01.21 - 17:06
мнда.. точно не в теме. спасибо. буду знать, что твои рекомендации и замечания в части администрирования серверов и сетей можно пропускать смело и без потерь.
не огорчайся. удач тебе.
   Aleksey
 
33 - 17.01.21 - 17:07
(32) так я как юзер запустил в терминале на серваке, и ничего
   Aleksey
 
34 - 17.01.21 - 17:07
просвяти меня что я делаю не так
   Aleksey
 
35 - 17.01.21 - 17:08
что мне надо нажать, чтобы потролить админов
   Cthulhu
 
36 - 17.01.21 - 17:26
(34): за "просвящением" - это не ко мне, это - к рпц.
(35): попробуй D вместо C например... ну или любой другой диск к которому юзер имеет доступ.
   Cthulhu
 
37 - 17.01.21 - 17:27
(36)+: а. и - да, не говори админу своему что это я тебе советовал.. ты же сам такой умом пытливый выклянчил..
   Aleksey
 
38 - 17.01.21 - 17:40
(36) А какая разница? при условии что 2008 и 2012 сервак не подвержен этой уязвимости. Это можно увидеть только на 2019 серваке (который на базе 10-ки)
   Aleksey
 
39 - 17.01.21 - 17:45
попробовал все локальные диски (CDE)
везде Неверно задано имя папки.

сработало только на сетевых папках
Файл или папка повреждены. Чтение невозможно.

При этом никаких сообщени или ошибок в журнале событий нет
   Aleksey
 
40 - 17.01.21 - 17:45
так что не взлетело, что еще попробовать?
   Cyberhawk
 
41 - 17.01.21 - 18:48
(26) "Когда все работает жалоб нет, зачем читать тонны муссора из журнала в поисках" // Так-то в нормальных местах абсолютно все журналы мониторятся, как минимум - на наличие ошибок и предупреждений
   Aleksey
 
42 - 17.01.21 - 18:55
(41) Где? в Газпроме?
Так то в средне статическом "ларьке" где админ сын директора/главбуха так и представляю как это все мониторится
Да и в остальных местах, если в случае ошибки админ полезет в журнал событий - это уже будет сродни чудом.

А уж контор, где настроены системы мониторинга с выводом ошибок на большой экран - думаю можно по пальцам пересчитать, причем одной руки
   Aleksey
 
43 - 17.01.21 - 19:03
Тебе любой админ скажет = а что там мониторить, это же Windows, там постоянно какие то непонятные ошибки лезут на ровном месте. Работает же все - значит всё хорошо. Будут проблемы приходи
   Cthulhu
 
44 - 17.01.21 - 20:01
(38): на этих попробуй например
dir c:\$mft\123
   Aleksey
 
45 - 17.01.21 - 20:12
(44) Какое это имеет отношения к сабжу?
   Cthulhu
 
46 - 17.01.21 - 20:22
(45): ну вообще-то прямое. это аналогичное использование спец.файла в качестве каталога - в результате чего спец.файл лочится до холодной перезагрузки (ну и взводится флаг необходимости проверки). на 10 эти имена поменялись, а на указанных тобой системах фактически то же самое - (44).
и - я так понял ты испугался и не сделал? ))
   Cthulhu
 
47 - 17.01.21 - 20:23
ЗЫ: а вообще.. то, что тебе это приходится объяснять - многое объясняет, в том числе правоту (32) lol.
удачи.
   Провинциальный 1сник
 
48 - 17.01.21 - 20:32
Проверил баг на виртуалках в разных ОС.

Win XP -  есть
Win 7 - нет
Win 10 16.07 - нет
Win 10 19.09 - есть

Весело)
   Cthulhu
 
49 - 17.01.21 - 20:42
(48): а (44) на семерке есть?
   Провинциальный 1сник
 
50 - 17.01.21 - 20:43
(49) Я же написал. На семерке бага нет.
   Cthulhu
 
51 - 17.01.21 - 20:46
(50): ты написал вроде про (0) а не про (44)
   ДедМорроз
 
52 - 18.01.21 - 00:04
На xp,насколько я помню,под правами админа можно было и mft нечаянно записать.
По крайней мере,идея - отстреливать двоеточия у меня как раз оттуда.
   Провинциальный 1сник
 
53 - 18.01.21 - 05:53
(52) Ну под правами админа в любой ОС можно много чего испортить.. это не уязвимость, а возможность. Суть в том что под баг (0) с повреждением ФС под юзером фиксируется.
   Cthulhu
 
54 - 18.01.21 - 13:58
(53): именно. ведь система (а не пользователь!) отрабатывает возникновение ошибочной ситуации в объекте - взводя флаг необходимости проверки (при невозможности проверить его непосредственно в момент обнаружения ошибки) в свойствах этого объекта - что вызывает дальнейшую блокировку внесения любых изменений в этот "ошибочный" объект до тех пор, пока "ошибка" не будет исправлена.
   Провинциальный 1сник
 
55 - 18.01.21 - 19:21
(54) А зачем это делать, если пользователь в принципе не имеет (не должен иметь) доступа к защищенным областям? То есть, пользователь обратился "куда не следует", у него это не получилось - это значит, что файловая система в принципе не изменилась и флаг ставить незачем. Тут одно из двух - или параноидальная виндовс поднимает флаг без повода, или же реально где-то нагадили и диск должен быть проверен. И в том и в другом случае поведение винды - баг.
   Cthulhu
 
56 - 18.01.21 - 19:50
(55): в смысле? доступ на чтение данных не давать ему вообще???
потому что иначе он пытается прочитать (используя некорректно спец.ресурс, как например в этом случае - файл в качестве каталога), система пытаясь предоставить затребованные данные обнаруживает ошибку, взводит флаг проверки, и т.п.
   Провинциальный 1сник
 
57 - 18.01.21 - 20:04
(56) Если пользователь может читать - почему поднимается флаг? Если пользователь не может - почему вообще допускается эта попытка? Если он всё-таки сумел прочитать - он же не записал ничего, почему нужно поднимать флаг проверки?
   Cthulhu
 
58 - 18.01.21 - 20:21
(57): система при попытке выполнить действие, затребованное пользователем и на которое пользователь имеет право - обнаруживает ошибку в системном ресурсе. и не может выполнить проверку непосредственно в этот момент. для этого взводится флаг, по которому проверка такоого ресурса (и исправление обнаруженных при проверке ошибок) будет выполнена тогда, когда такая возможность появится (при (пере)загрузке).
вабене!


Список тем форума
Рекламное место пустует  Рекламное место пустует
ВНИМАНИЕ! Если вы потеряли окно ввода сообщения, нажмите Ctrl-F5 или Ctrl-R или кнопку "Обновить" в браузере.