Microsoft komt met patch voor bug die NTFS-schijven onleesbaar maakt

Een bug in Windows 10 zorgt ervoor dat een NTFS-schijf beschadigd wordt met een eenvoudig commando, dat ook kan worden uitgevoerd op een account zonder adminrechten. Microsoft zegt aan een oplossing te werken.

De bug kan geactiveerd worden door een .url-snelkoppeling, maar ook bij het openen van een zip-bestand. Daarbij is het mogelijk dat een computer al vastloopt als de gebruiker de map opent waar het zip-bestand in is uitgepakt, zonder dat daarbij verder een gebruikersinteractie nodig is. Nadat het commando is uitgevoerd toont Windows een foutmelding dat een bestand of map onleesbaar is. De schijf is vervolgens niet meer toegankelijk.

Wanneer een schijf onleesbaar wordt gemaakt door de bug moet de computer opnieuw worden opgestart. Vervolgens kan via chkdsk de schijf geanalyseerd worden en in de meeste gevallen worden hersteld.

Een security-onderzoeker waarschuwde eerder in januari al voor de bug op Twitter. Tegenover The Verge heeft Microsoft laten weten dat er aan een fix wordt gewerkt, en dat die in een volgende release wordt uitgebracht. Volgens de onderzoeker bevat Windows 10 vanaf versie 1803 de bug. Ook zouden Windows 8 en 8.1 kwetsbaar zijn.

Reacties (74)

mrtl 15 januari 2021 20:51

cd c:\:$i30:$bitmap

in de command prompt. Weet je ook meteen wat je moet vermijden, iets dat artikelen als deze nooit vertellen.

Gerwin486741 @mrtl • 15 januari 2021 20:52

Kan ook in de browser

Rub3s @Gerwin486741 • 15 januari 2021 21:06

In de browser? Misschien nog in Internet Explorer ofzo? De rest accepteert toch geen links naar lokale paden meer?

DdeM @Rub3s • 15 januari 2021 21:57

Net grprobeerd op Edge (Chromium), Chrome en Firefox en in alle gevallen krijg ik gewoon de files te zien en als ik een bestand probeer te openen dan doet ie dat gewoon. Dus ja, ook moderne browsers accepteren nog gewoon lokale paden.

R4gnax @DdeM • 15 januari 2021 23:10

Net grprobeerd op Edge (Chromium), Chrome en Firefox en in alle gevallen krijg ik gewoon de files te zien en als ik een bestand probeer te openen dan doet ie dat gewoon. Dus ja, ook moderne browsers accepteren nog gewoon lokale paden.

Yup. Als iemand ergens een website neerzet welke bijv een <img src="file://c:\(...)" /> element bevat om een plaatje op te proberen te halen van het lokale file system, dan kan men daarmee al proberen deze bug te triggeren en het lokale file system corrupt te maken.

Sterker nog; dit kan men doen met 26 plaatjes op één pagina met alle drive letters van A tot Z om alle NTFS partities in een systeem te mollen.

Je kunt er donder op zeggen dat er script kiddies rondlopen die dit gerust gewoon "for the lulz" ergens neer willen zetten om te kijken hoeveel mensen ze er mee genaaid kunnen krijgen.

Ablaze @R4gnax • 16 januari 2021 08:44

Maar dan nog moet die website lokaal draaien. Je kunt 'm niet op een server zetten, want alle browsers blokkeren verwijzingen naar het filesystem in dat geval. Dus waarom zou je daar een html pagina voor willen maken? Dan volstaat een simpele batch file ook. Zet 'm in Startup en hij wordt automatisch uitgevoerd. En volgens het nieuwsartikel kun je ook een url bestand gebruiken.

[Reactie gewijzigd door Ablaze op 23 juli 2024 03:04]

QuatroXL @Ablaze • 16 januari 2021 11:57

Waarom zou die website lokaal moeten draaien? Je kunt toch in je pagina een verwijzing maken naar c: en de genoemde map?

Rub3s @QuatroXL • 16 januari 2021 12:47

Ik weet vrijwel zeker dat moderne browsers dat blokkeren. Misschien niet als je het handmatig intypt in de adresbalk, maar wel bij links. Terecht natuurlijk.

Radiant @QuatroXL • 16 januari 2021 13:36

Dat wordt geblokkeerd. Is maar goed ook, anders kan je met een beetje Javascript heel gemakkelijk stiekem allerlei lokale files inzien en uploaden..

R4gnax @Ablaze • 16 januari 2021 12:08

alle browsers blokkeren verwijzingen naar het filesystem in dat geval

Ook embedded browsers zoals bijv. de Steam of Battle.net clients? Bij dat soort integraties zet men namelijk heel vaak dit soort scheidingen uit, juist omdat deze voor de eigen user-interface onderdelen nog wel eens web-content gebruiken die gedeeltelijk lokaal geinstalleerd is en gedeeltelijk online staat.

Email clients die HTML-formatted mail weergeven lijken me hier ook nog interessant.

[Reactie gewijzigd door R4gnax op 23 juli 2024 03:04]

TheVivaldi @Rub3s • 16 januari 2021 12:13

In Vivaldi (gebaseerd op Chromium) kan ik met file:// gewoon al mijn lokale bestanden bekijken.

MSalters @TheVivaldi • 18 januari 2021 16:57

Als het commando lokaal uitgevoerd wordt, ja. De beveiliging is tegen XSS (Cross-Site Scripting). De ene file URL kan dus wel naar de andere verwijzen, en je kunt in de browser bar een file URL openen. Dat is allemaal lokaal, dus niet Cross-Site

MISTERAMD @mrtl • 15 januari 2021 21:09

command prompt
ie url
zip file
iso file
rar file
...

Gewoon totaal niet gebruiken die code.
I30 is iets speciaals als je dit artikel over na leest : https://www.sans.org/blog...ed-and-overwritten-files/

Blokker_1999

Bugs
Microsoft Windows
Microsoft

@mrtl • 15 januari 2021 22:42

Als je bedenkt op hoeveel manieren dit misbruikt kan worden is het meegeven ervan een beetje waardeloos. zovele manieren waarop het misbruikt kan worden dat de kans dat je het op tijd ziet gewoon bijna niet bestaat.

En door het wel op te nemen riskeer je weer dat meer mensen het gaan uitproberen.

Droxal @mrtl • 16 januari 2021 06:05

Ik heb dit geprobeerd op een oude PC met windows 10 en bij mij gebeurd er niets.
Copy / past in CMD met administrator rechten en ik krijg gewoon een foutmelding.
Doe ik iets verkeerd?

EchoWhiskey @mrtl • 16 januari 2021 10:59

Geruchten gaan dat "format c:" je harde schijf ook onleesbaar maakt

burnerchief @EchoWhiskey • 17 januari 2021 18:19

Ik mis de /s 😎

pharmacist @mrtl • 17 januari 2021 11:38

Wat raar: ik krijg als ik deze link open de foutmelding van Avast:

Dreiging onschadelijk gemaakt
De verbinding met tweakers.net is verbroken vanwege een infectie met:
Win32: NtfsCorrupt-B [Expl]

MISTERAMD 15 januari 2021 20:44

"De bug wordt geactiveerd worden door een .url-snelkoppeling, maar ook bij het openen van een een zip-bestand."

Nederlandse zin?

On Topic: Infosec researcher Jonas L. was diegene die er over tweette. Hij ontdekte dit rond de Windows 10 April 2018 update.
Bron (2 dezelfde artikelen):
Engels: https://www.guru3d.com/ne...0-can-corrupt-hddssd.html
Nederlands: https://be.hardware.info/...lumes-van-een-ntfs-schijf

Indepth informatie en zelfs een video hoe het in zijn werk gaat + de chkdsk fix: https://www.bleepingcompu...n-seeing-this-files-icon/

Ik hoop dat ze deze snel patchen alvorens er kwaadwilligen zijn die de regel gaan gebruiken (of varianten ervan) en het gaan gebruiken als een soort "virus" om bepaalde mensen of zelfs servers plat te gaan leggen via allerlei manieren...

Als je meer wilt weten over i30 kan je dit handig artikel lezen : https://www.sans.org/blog...ed-and-overwritten-files/

[Reactie gewijzigd door MISTERAMD op 23 juli 2024 03:04]

Ro-Maniak2 @MISTERAMD • 15 januari 2021 20:49

Wat mij vooral tegenvalt van deze website is het gebrek aan specifieke en specifieke technische informatie. Wel, nou, wat is het technische probleem/de bug die er achter zit? Etc

Keypunchie @Ro-Maniak2 • 15 januari 2021 20:55

ZolAng het ongepatcht is, snap ik dat men er wat vaag over doet.

PCG2020 @MISTERAMD • 15 januari 2021 21:57

Spel- en grammaticafouten kun je melden in dit topic op het forum (maar dat heeft iemand inmiddels al gedaan bij met "jouw" fout).

[Reactie gewijzigd door PCG2020 op 23 juli 2024 03:04]

Aetje @PCG2020 • 19 januari 2021 16:11

Mwah, geintje moet kunnen. Als het een slecht grapje is, neem ik die -1 wel op de koop toe.

MMaster23 15 januari 2021 23:06

Accessing the :$I30:$bitmap index does not really corrupt anything. the file system just doesn’t know what to do with it, so it panics and flags the drive as dirty. You still have to run the check or manually set the flag to healthy in order to stop the OS from complaining.

Aldus onderzoekers

OxWax @MMaster23 • 16 januari 2021 11:09

MS zegt :
https://support.microsoft...lity-in-read-only-mode-on

Restoring computer settings from System Restore point results in an unbootable operating system or corrupt files.
Restoring files from an effected volume using the "Previous Versions" tab may result in restored files being in a corrupted state.
When you use a backup application that leverages the Windows VSS Volume Shadow Copy feature to create snapshots during a backup, one or more files are found to be corrupt after a restore.

Gerwin486741 15 januari 2021 20:44

Het hoort niet natuurlijk, maar chkdsk lijkt het 'gewoon' te fixen. Dus hoeveel kwaad het kan voor een kwaadwillende vraag ik me af

supersnathan94

@Gerwin486741 • 15 januari 2021 20:51

Automatiseer de boel met een scriptje wat uitgevoerd word en je hebt een mooie tool om hele bedrijven mee plat te leggen zonder privilege escalation oid.

R4gnax @Gerwin486741 • 15 januari 2021 23:04

Het hoort niet natuurlijk, maar chkdsk lijkt het 'gewoon' te fixen. Dus hoeveel kwaad het kan voor een kwaadwillende vraag ik me af

Security researcher Jonas L (Twitter handle: jonasLyk) geeft anders aan dat hoewel chkdsk een aantal malen de fout heeft kunnen herstellen, de MFT in zijn test opzet op een gegeven moment wel beschadigd bleef.

De MFT is de master file table. Als die beschadigd raakt en niet hersteld kan worden, dan ben je gewoon files kwijt of verwijzen files naar de verkeerde data, waardoor niet alleen de verkeerd verwezen files corrupt zijn geworden, maar als je er naar zou schrijven ook andere files (waar ze nu per ongeluk deels overlap mee kunnen hebben) corrupt gemaakt kunnen worden.

Dit is dus een hele, hele nasty issue.

[Reactie gewijzigd door R4gnax op 23 juli 2024 03:04]

tweazer @Gerwin486741 • 16 januari 2021 00:40

Ihkv anekdotes, vroeger was er een bug in samba waarbij als je vanuit een mac client een file van een balletje voorzag deze ontzichtbaar werd voor windows clients. Een nieuwe 'stagiaire' vond de directories in de driveletter zo lelijk (allemaal hoofdletters), zette er a la powepoint een balletje voor en maakte het een hoofd en kleine letters.benaming.
Paar minuten later het hele bedrijf in paniek ..

mr_evil08 15 januari 2021 20:47

Nou gelukkig heb ik geen hardeschijf meer maar een SSD, maar even serieus dit is wel een kwalijke zaak.

Edit hieronder: begrijp ik maar was ook als sarcasme bedoelt.

[Reactie gewijzigd door mr_evil08 op 23 juli 2024 03:04]

MISTERAMD @mr_evil08 • 15 januari 2021 20:50

Is hetzelfde met een SSD. Lees https://www.guru3d.com/ne...0-can-corrupt-hddssd.html

.oisyn Moderator Devschuur®

Bugs

@MISTERAMD • 15 januari 2021 20:54

Ik denk dat @mr_evil08 dat ook wel snapte, maar de gebruikte terminologie in dit artikel laat nogal te wensen over. Titel: waardoor harde schijf onleesbaar wordt gemaakt. En ook: "Dit werkt voor de C-schijf, maar ook voor andere schijven"

. Het gaat in alle gevallen natuurlijk om NTFS volumes of partities. Tezamen met het gebrek aan inhoudelijke informatie over de aard van de bug heeft het hele artikel een behoorlijk Beginnersweb-gevoel en een beetje Tweakers onwaardig imho...

[Reactie gewijzigd door .oisyn op 23 juli 2024 03:04]

supersnathan94

@mr_evil08 • 15 januari 2021 20:52

Een bug in Windows 10 zorgt ervoor dat een NTFS-schijf beschadigd wordt

Gaat om het bestandssysteem niet het type schijf. SSD is hier ook vatbaar voor.

kiddingguy 15 januari 2021 20:39

Hoe wordt "“We are aware of this issue and will provide an update in a future release,” says a Microsoft spokesperson in a statement to The Verge." gedefinieerd....?! Is dit en volgende Patch Tuesday? Of een volgende major update op Windows (21H1 of 21H2)?

WillySis @kiddingguy • 15 januari 2021 20:51

"A future update" kan van alles betekenen. De bug is ook al jaren bekend, al eens gepatched en weer opnieuw opgedoken. Met een definitieve patch lijkt men geen haast te maken, of er zit echt een behoorlijke design-fout in het file systeem, wat het gewoon erg lastig maakt om de fout te patchen.

Een oplossing in de eerst volgende Patch Tuesday hoeft je dus niet te verwachten.

Macron

15 januari 2021 20:46

En toen runde je Chkdsk op een vm..

nieuws: Chkdsk kan bestandssysteem ssd op Windows 10 20H2 beschadigen - update

Dennism @Macron • 16 januari 2021 02:03

En dan draai je gewoon nog een keer Chkdsk en het probleem is weer opgelost

https://support.microsoft...ndows-10-update-kb4592438

Probleem:

A small number of devices that have installed this update have reported that when running chkdsk /f, their file system might get damaged and the device might not boot.

Oplossing:

To mitigate this issue on devices which have already encountered this issue and are unable to start up, use the following steps:

The device should automatically start up into the Recovery Console after failing to start up a few times.
Select Advanced options.
Select Command Prompt from the list of actions.
Once Command Prompt opens, type: chkdsk /f
Allow chkdsk to complete the scan, this can take a little while. Once it has completed, type: exit
The device should now start up as expected. If it restarts into Recovery Console, select Exit and continue to Windows 10.

Note After completing these steps, the device might automatically run chkdsk again on restart. It should start up as expected once it has completed.

bamboe @Macron • 15 januari 2021 21:08

Ah, gelukkig heb ik nog een harde schijf in mijn computer zitten....

Creds go to @MISTERAMD

[Reactie gewijzigd door bamboe op 23 juli 2024 03:04]

pleh 15 januari 2021 21:13

Server 2019 is ook kwetsbaar hiervoor. Dus dat maakt het probleem nog groter.

Bor Coördinator Frontpage Admins / FP Powermod 15 januari 2021 21:44

Tot nu toe repareert Windows zichzelf elke keer feilloos in de VM's waar ik dit heb getest. Het lijkt er op dat eventuele corruptie optreed wanneer mensen een last hebben van de chkdsk bug. Die is in feite ongerelateerd.

field33P 16 januari 2021 00:07

Is dit de 21e eeuwse versie van file:///C:/con/con waarmee je iedere Windows 9x-bak neer kon halen door middel van een image-tag of hyperlink?

R4gnax @field33P • 16 januari 2021 00:25

Is dit de 21e eeuwse versie van file:///C:/con/con waarmee je iedere Windows 9x-bak neer kon halen door middel van een image-tag of hyperlink?

Soort van, ja.

Op dit item kan niet meer gereageerd worden.

Microsoft komt met patch voor bug die NTFS-schijven onleesbaar maakt

Lees meer

Reacties (74)

Sorteer op:

Weergave: