Especialistas en ciberseguridad detallan el hallazgo de una vulnerabilidad en Windows 10 que, de ser explotada, permitiría a los actores de amenazas comprometer un disco duro con formato NTFS empleando un comando simple. Acorde al reporte enviado a Microsoft, es posible ocultar el comando de una sola línea dentro de un acceso directo de Windows, un archivo ZIP o en archivos comunes para generar errores en el disco duro, dañando el sistema de archivos de inmediato.
El investigador que detectó la vulnerabilidad menciona que el problema fue introducido con el lanzamiento de Windows 10 Build 1803, y sigue presente hasta la más reciente versión. La falla es considerada severa ya que incluso un usuario con pocos privilegios en el sistema objetivo podría explotarla.
Al parecer el disco duro puede dañarse incluso si se intenta acceder al atributo NTFS “$ i30” en la carpeta de cierta manera. El atributo de índice de Windows NTFS (cadena “$ i30”) contiene una lista de archivos y subcarpetas del directorio y, en algunos casos, el índice NTFS también puede incluir archivos y carpetas eliminados, lo que es útil en algunos proceso de respuesta a incidentes de seguridad o durante el análisis forense.
El investigador no pudo explicar por qué el acceso a este atributo conduce a un daño en la unidad de almacenamiento, aunque menciona que la clave de registro que ayudaría a diagnosticar el problema no funciona.
Después de ejecutar el comando en la línea de comandos de Windows 10 y presionar Enter, el usuario verá el mensaje de error “El archivo o directorio está dañado y no se puede leer”. Windows 10 comenzará a mostrar notificaciones que le solicitarán al usuario reiniciar la computadora y reparar la unidad dañada. Cuando se reinicia la computadora, la utilidad Comprobación de disco de Windows se inicia y comienza a reparar el disco duro.
Una vez que los discos están dañados, Windows 10 generará errores en el registro de eventos que indican que la tabla de archivos principal (MFT) de un disco en particular contiene una entrada dañada. Las posibles correcciones serán reveladas en breve.