Microsoft Windows 10中一個(gè)未修補的零日漏洞允許攻擊者使用單行命令破壞NTFS格式的硬盤(pán)。攻擊者可以將這條命令可以隱藏在Windows快捷方式文件、ZIP存檔、批處理文件或其他各種矢量中，以觸發(fā)硬盤(pán)驅動(dòng)器錯誤，瞬間破壞文件系統索引。

被嚴重低估的NTFS漏洞

2020年8月和10月，Infosec研究人員Jonas L兩次提醒微軟注意影響Windows 10的一個(gè)尚未修復的NTFS漏洞。(下圖)

攻擊者只需通過(guò)單行命令就可觸發(fā)此漏洞，立即破壞NTFS格式的硬盤(pán)，Windows會(huì )提示用戶(hù)重新啟動(dòng)計算機以修復損壞的磁盤(pán)記錄。重新啟動(dòng)后，Windows檢查磁盤(pán)實(shí)用程序將運行并開(kāi)始修復硬盤(pán)驅動(dòng)器。

研究人員發(fā)現，該漏洞自Windows 10 build 1803(Windows 10 April 2018 Update)開(kāi)始被引入，并在最新版本中繼續有效。(編者：1803之前的版本不受此漏洞影響，最新版本修補后癥狀減輕)

更糟糕的是，該漏洞可由Windows 10系統上的標準和低特權用戶(hù)賬戶(hù)觸發(fā)。

警告：在運行中Windows系統中執行以下命令將立刻損壞硬盤(pán)驅動(dòng)器，并可能導致其無(wú)法訪(fǎng)問(wèn)。非安全專(zhuān)業(yè)人士切勿嘗試或作為非法用途，后果自負。安全專(zhuān)業(yè)人士請在虛擬機中測試此命令，如果硬盤(pán)驅動(dòng)器損壞，仍可以將其還原到早期快照。

目前尚不清楚為什么訪(fǎng)問(wèn)此類(lèi)文件屬性會(huì )損壞硬盤(pán)驅動(dòng)器，Jonas認為輔助診斷問(wèn)題的注冊表項沒(méi)起作用。

Jonas隨后又有了一個(gè)驚人的發(fā)現，可以“零點(diǎn)擊”利用該漏洞。只需制作一個(gè)Windows快捷方式文件將圖標指向上述地址，用戶(hù)如果瀏覽文件所在文件夾，即使并未點(diǎn)擊打開(kāi)文件也會(huì )觸發(fā)該漏洞。因為Windows資源管理器會(huì )嘗試在后臺訪(fǎng)問(wèn)文件內部的預制圖標路徑，從而觸發(fā)漏洞利用損壞NTFS硬盤(pán)驅動(dòng)器。

根據網(wǎng)絡(luò )安全社區的消息來(lái)源，多年前業(yè)界就已知曉此類(lèi)嚴重漏洞，并已報告給Microsoft，但至今仍未修復。

根據開(kāi)發(fā)人員Oliver L的最新反饋，在完全修補的Windows 10 20H2 VM中進(jìn)行的測試發(fā)現，cmd執行漏洞利用命令沒(méi)有彈出硬盤(pán)故障窗口，唯一的影響是，在下一次手動(dòng)重啟操作系統后，會(huì )觸發(fā)磁盤(pán)檢查，但沒(méi)有數據損壞。

【本文是51CTO專(zhuān)欄作者“安全牛”的原創(chuàng )文章，轉載請通過(guò)安全牛（微信公眾號id:gooann-sectv）獲取授權】