Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Microsoft komt met patch voor bug die NTFS-schijven onleesbaar maakt

Een bug in Windows 10 zorgt ervoor dat een NTFS-schijf beschadigd wordt met een eenvoudig commando, dat ook kan worden uitgevoerd op een account zonder adminrechten. Microsoft zegt aan een oplossing te werken.

De bug kan geactiveerd worden door een .url-snelkoppeling, maar ook bij het openen van een zip-bestand. Daarbij is het mogelijk dat een computer al vastloopt als de gebruiker de map opent waar het zip-bestand in is uitgepakt, zonder dat daarbij verder een gebruikersinteractie nodig is. Nadat het commando is uitgevoerd toont Windows een foutmelding dat een bestand of map onleesbaar is. De schijf is vervolgens niet meer toegankelijk.

Wanneer een schijf onleesbaar wordt gemaakt door de bug moet de computer opnieuw worden opgestart. Vervolgens kan via chkdsk de schijf geanalyseerd worden en in de meeste gevallen worden hersteld.

Een security-onderzoeker waarschuwde eerder in januari al voor de bug op Twitter. Tegenover The Verge heeft Microsoft laten weten dat er aan een fix wordt gewerkt, en dat die in een volgende release wordt uitgebracht. Volgens de onderzoeker bevat Windows 10 vanaf versie 1803 de bug. Ook zouden Windows 8 en 8.1 kwetsbaar zijn.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Robert Zomers

Nieuwsposter

15-01-2021 • 20:31

74 Linkedin

Submitter: e.dewaal

Reacties (74)

Wijzig sortering
cd c:\:$i30:$bitmap
in de command prompt. Weet je ook meteen wat je moet vermijden, iets dat artikelen als deze nooit vertellen.
Kan ook in de browser
In de browser? Misschien nog in Internet Explorer ofzo? De rest accepteert toch geen links naar lokale paden meer?
Net grprobeerd op Edge (Chromium), Chrome en Firefox en in alle gevallen krijg ik gewoon de files te zien en als ik een bestand probeer te openen dan doet ie dat gewoon. Dus ja, ook moderne browsers accepteren nog gewoon lokale paden.
Net grprobeerd op Edge (Chromium), Chrome en Firefox en in alle gevallen krijg ik gewoon de files te zien en als ik een bestand probeer te openen dan doet ie dat gewoon. Dus ja, ook moderne browsers accepteren nog gewoon lokale paden.
Yup. Als iemand ergens een website neerzet welke bijv een <img src="file://c:\(...)" /> element bevat om een plaatje op te proberen te halen van het lokale file system, dan kan men daarmee al proberen deze bug te triggeren en het lokale file system corrupt te maken.

Sterker nog; dit kan men doen met 26 plaatjes op één pagina met alle drive letters van A tot Z om alle NTFS partities in een systeem te mollen.

Je kunt er donder op zeggen dat er script kiddies rondlopen die dit gerust gewoon "for the lulz" ergens neer willen zetten om te kijken hoeveel mensen ze er mee genaaid kunnen krijgen.
Maar dan nog moet die website lokaal draaien. Je kunt 'm niet op een server zetten, want alle browsers blokkeren verwijzingen naar het filesystem in dat geval. Dus waarom zou je daar een html pagina voor willen maken? Dan volstaat een simpele batch file ook. Zet 'm in Startup en hij wordt automatisch uitgevoerd. En volgens het nieuwsartikel kun je ook een url bestand gebruiken.

[Reactie gewijzigd door Ablaze op 16 januari 2021 08:48]

Waarom zou die website lokaal moeten draaien? Je kunt toch in je pagina een verwijzing maken naar c: en de genoemde map?
Ik weet vrijwel zeker dat moderne browsers dat blokkeren. Misschien niet als je het handmatig intypt in de adresbalk, maar wel bij links. Terecht natuurlijk.
Dat wordt geblokkeerd. Is maar goed ook, anders kan je met een beetje Javascript heel gemakkelijk stiekem allerlei lokale files inzien en uploaden..
alle browsers blokkeren verwijzingen naar het filesystem in dat geval
Ook embedded browsers zoals bijv. de Steam of Battle.net clients? Bij dat soort integraties zet men namelijk heel vaak dit soort scheidingen uit, juist omdat deze voor de eigen user-interface onderdelen nog wel eens web-content gebruiken die gedeeltelijk lokaal geinstalleerd is en gedeeltelijk online staat.

Email clients die HTML-formatted mail weergeven lijken me hier ook nog interessant.

[Reactie gewijzigd door R4gnax op 16 januari 2021 12:16]

In Vivaldi (gebaseerd op Chromium) kan ik met file:// gewoon al mijn lokale bestanden bekijken.
Als het commando lokaal uitgevoerd wordt, ja. De beveiliging is tegen XSS (Cross-Site Scripting). De ene file URL kan dus wel naar de andere verwijzen, en je kunt in de browser bar een file URL openen. Dat is allemaal lokaal, dus niet Cross-Site
command prompt
ie url
zip file
iso file
rar file
...

Gewoon totaal niet gebruiken die code.
I30 is iets speciaals als je dit artikel over na leest : https://www.sans.org/blog...ed-and-overwritten-files/
Als je bedenkt op hoeveel manieren dit misbruikt kan worden is het meegeven ervan een beetje waardeloos. zovele manieren waarop het misbruikt kan worden dat de kans dat je het op tijd ziet gewoon bijna niet bestaat.

En door het wel op te nemen riskeer je weer dat meer mensen het gaan uitproberen.
Ik heb dit geprobeerd op een oude PC met windows 10 en bij mij gebeurd er niets.
Copy / past in CMD met administrator rechten en ik krijg gewoon een foutmelding.
Doe ik iets verkeerd?
Geruchten gaan dat "format c:" je harde schijf ook onleesbaar maakt :+
Wat raar: ik krijg als ik deze link open de foutmelding van Avast:

Dreiging onschadelijk gemaakt
De verbinding met tweakers.net is verbroken vanwege een infectie met:
Win32: NtfsCorrupt-B [Expl]
"De bug wordt geactiveerd worden door een .url-snelkoppeling, maar ook bij het openen van een een zip-bestand."

Nederlandse zin?

On Topic: Infosec researcher Jonas L. was diegene die er over tweette. Hij ontdekte dit rond de Windows 10 April 2018 update.
Bron (2 dezelfde artikelen):
Engels: https://www.guru3d.com/ne...0-can-corrupt-hddssd.html
Nederlands: https://be.hardware.info/...lumes-van-een-ntfs-schijf

Indepth informatie en zelfs een video hoe het in zijn werk gaat + de chkdsk fix: https://www.bleepingcompu...n-seeing-this-files-icon/

Ik hoop dat ze deze snel patchen alvorens er kwaadwilligen zijn die de regel gaan gebruiken (of varianten ervan) en het gaan gebruiken als een soort "virus" om bepaalde mensen of zelfs servers plat te gaan leggen via allerlei manieren...

Als je meer wilt weten over i30 kan je dit handig artikel lezen : https://www.sans.org/blog...ed-and-overwritten-files/

[Reactie gewijzigd door MISTERAMD op 15 januari 2021 21:05]

Wat mij vooral tegenvalt van deze website is het gebrek aan specifieke en specifieke technische informatie. Wel, nou, wat is het technische probleem/de bug die er achter zit? Etc
ZolAng het ongepatcht is, snap ik dat men er wat vaag over doet.
Spel- en grammaticafouten kun je melden in dit topic op het forum (maar dat heeft iemand inmiddels al gedaan bij met "jouw" fout).

[Reactie gewijzigd door PCG2020 op 16 januari 2021 07:39]

Mwah, geintje moet kunnen. Als het een slecht grapje is, neem ik die -1 wel op de koop toe.
Accessing the :$I30:$bitmap index does not really corrupt anything. the file system just doesn’t know what to do with it, so it panics and flags the drive as dirty. You still have to run the check or manually set the flag to healthy in order to stop the OS from complaining.
Aldus onderzoekers
MS zegt :
https://support.microsoft...lity-in-read-only-mode-on

Restoring computer settings from System Restore point results in an unbootable operating system or corrupt files.
Restoring files from an effected volume using the "Previous Versions" tab may result in restored files being in a corrupted state.
When you use a backup application that leverages the Windows VSS Volume Shadow Copy feature to create snapshots during a backup, one or more files are found to be corrupt after a restore.
Het hoort niet natuurlijk, maar chkdsk lijkt het 'gewoon' te fixen. Dus hoeveel kwaad het kan voor een kwaadwillende vraag ik me af
Automatiseer de boel met een scriptje wat uitgevoerd word en je hebt een mooie tool om hele bedrijven mee plat te leggen zonder privilege escalation oid.
Het hoort niet natuurlijk, maar chkdsk lijkt het 'gewoon' te fixen. Dus hoeveel kwaad het kan voor een kwaadwillende vraag ik me af
Security researcher Jonas L (Twitter handle: jonasLyk) geeft anders aan dat hoewel chkdsk een aantal malen de fout heeft kunnen herstellen, de MFT in zijn test opzet op een gegeven moment wel beschadigd bleef.

De MFT is de master file table. Als die beschadigd raakt en niet hersteld kan worden, dan ben je gewoon files kwijt of verwijzen files naar de verkeerde data, waardoor niet alleen de verkeerd verwezen files corrupt zijn geworden, maar als je er naar zou schrijven ook andere files (waar ze nu per ongeluk deels overlap mee kunnen hebben) corrupt gemaakt kunnen worden.

Dit is dus een hele, hele nasty issue.

[Reactie gewijzigd door R4gnax op 15 januari 2021 23:04]

Ihkv anekdotes, vroeger was er een bug in samba waarbij als je vanuit een mac client een file van een balletje voorzag deze ontzichtbaar werd voor windows clients. Een nieuwe 'stagiaire' vond de directories in de driveletter zo lelijk (allemaal hoofdletters), zette er a la powepoint een balletje voor en maakte het een hoofd en kleine letters.benaming.
Paar minuten later het hele bedrijf in paniek ..
Nou gelukkig heb ik geen hardeschijf meer maar een SSD, maar even serieus dit is wel een kwalijke zaak.

Edit hieronder: begrijp ik maar was ook als sarcasme bedoelt.

[Reactie gewijzigd door mr_evil08 op 15 januari 2021 20:53]

Ik denk dat @mr_evil08 dat ook wel snapte, maar de gebruikte terminologie in dit artikel laat nogal te wensen over. Titel: waardoor harde schijf onleesbaar wordt gemaakt. En ook: "Dit werkt voor de C-schijf, maar ook voor andere schijven" 8)7. Het gaat in alle gevallen natuurlijk om NTFS volumes of partities. Tezamen met het gebrek aan inhoudelijke informatie over de aard van de bug heeft het hele artikel een behoorlijk Beginnersweb-gevoel en een beetje Tweakers onwaardig imho...

[Reactie gewijzigd door .oisyn op 16 januari 2021 01:16]

Een bug in Windows 10 zorgt ervoor dat een NTFS-schijf beschadigd wordt
Gaat om het bestandssysteem niet het type schijf. SSD is hier ook vatbaar voor.
Hoe wordt "“We are aware of this issue and will provide an update in a future release,” says a Microsoft spokesperson in a statement to The Verge." gedefinieerd....?! Is dit en volgende Patch Tuesday? Of een volgende major update op Windows (21H1 of 21H2)?
"A future update" kan van alles betekenen. De bug is ook al jaren bekend, al eens gepatched en weer opnieuw opgedoken. Met een definitieve patch lijkt men geen haast te maken, of er zit echt een behoorlijke design-fout in het file systeem, wat het gewoon erg lastig maakt om de fout te patchen.

Een oplossing in de eerst volgende Patch Tuesday hoeft je dus niet te verwachten.
En dan draai je gewoon nog een keer Chkdsk en het probleem is weer opgelost ;)

https://support.microsoft...ndows-10-update-kb4592438

Probleem:
A small number of devices that have installed this update have reported that when running chkdsk /f, their file system might get damaged and the device might not boot.
Oplossing:
To mitigate this issue on devices which have already encountered this issue and are unable to start up, use the following steps:

The device should automatically start up into the Recovery Console after failing to start up a few times.
Select Advanced options.
Select Command Prompt from the list of actions.
Once Command Prompt opens, type: chkdsk /f
Allow chkdsk to complete the scan, this can take a little while. Once it has completed, type: exit
The device should now start up as expected. If it restarts into Recovery Console, select Exit and continue to Windows 10.

Note After completing these steps, the device might automatically run chkdsk again on restart. It should start up as expected once it has completed.
Ah, gelukkig heb ik nog een harde schijf in mijn computer zitten.... 8)7

Creds go to @MISTERAMD

[Reactie gewijzigd door bamboe op 15 januari 2021 21:09]

Server 2019 is ook kwetsbaar hiervoor. Dus dat maakt het probleem nog groter.
Tot nu toe repareert Windows zichzelf elke keer feilloos in de VM's waar ik dit heb getest. Het lijkt er op dat eventuele corruptie optreed wanneer mensen een last hebben van de chkdsk bug. Die is in feite ongerelateerd.
Is dit de 21e eeuwse versie van file:///C:/con/con waarmee je iedere Windows 9x-bak neer kon halen door middel van een image-tag of hyperlink?
Is dit de 21e eeuwse versie van file:///C:/con/con waarmee je iedere Windows 9x-bak neer kon halen door middel van een image-tag of hyperlink?
Soort van, ja.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True