Windows 10: Schwachstelle kann Dateisystem beschädigen

Der Sicherheitsforscher Jonas L. hat bereits mehrfach auf eine Schwachstelle in Windows 10 aufmerksam gemacht, die bis dato nicht behoben wurde. Demnach lässt sich ein NTFS-Dateisystem mit einem simplen Einzeiler über die Eingabeaufforderung oder über eine präparierte Datei beschädigen. Der Befehl kann mit einfachen Benutzerrechten ausgeführt werden.

Laut dem Onlinemagazin Bleepingcomputer reicht es, wenn eine entsprechend präparierte Datei auf den Rechner des Opfers gelangt, anschließend wird der NTFS-Fehler ohne Nutzerinteraktion getriggert und beschädigt sofort den Dateisystemindex. Das funktioniere beispielsweise über eine Windows-Verknüpfung, Batch-Dateien oder Zip-Archive. Letztere müssten erst entpackt werden, bevor der Fehler auftritt.

Landet die Datei auf dem System oder wird der Befehl in die Eingabeaufforderung eingegeben, erscheint eine Fehlermeldung, die auf eine Beschädigung des Laufwerkes hinweist und zu einem Neustart des Rechners auffordert, damit der Fehler behoben werden könne.

In einem kurzen Test in einer virtuellen Maschine mit Windows 10 20.04 konnten wir den Fehler sowie die Fehlermeldungen nachvollziehen. Bei einem Neustart arbeitet der Rechner an einer Reparatur. Offensichtliche Fehler, die eine Bedienung von Windos einschränken, erkennen wir danach nicht, eine dauerhafte Beschädigung ist jedoch nicht auszuschließen. Laut Jonas L. ist es in einigen Fällen möglich, die NTFS Master File Table (MFT) zu beschädigen.

Wir können den Fehler jedoch durch die Eingabe des Befehls erneut triggern. Der Befehl ist in untenstehenden Screenshot zu finden. Seine Eingabe beschädigt das Betriebssystem, der Befehl sollte daher keinesfalls in produktiven Systemen, sondern nur in nicht benötigten, virtuellen Maschinen getestet werden.

• 

Der eingegebene Befehl beschädigt das Dateisystem. (Screenshot: Golem.de)

Das Windows NTFS-Indexattribut oder die Zeichenfolge "$i30" enthält eigentlich eine Liste der Dateien und Ordner eines Unterverzeichnisses. Darunter können auch eigentlich gelöschte Dateien und Ordner sein, entsprechend nützlich ist der Befehl laut Bleepingcomputer in der Forensik.

Laut Jonas L. ist die Schwachstelle bereits in Windows 18.03, das im April 2018 erschien, ausnutzbar und funktioniert bis zu aktuellen Versionen. Auf Nachfrage von Bleepingcomputer erklärte ein Microsoft-Sprecher: "Microsoft hat sich gegenüber seinen Kunden verpflichtet, gemeldete Sicherheitsprobleme zu untersuchen, und wir werden so schnell wie möglich Updates für betroffene Geräte bereitstellen."