Zero-Day sin parchear en Windows 10 corrompe el disco duro con una sola linea de comando

Recientemente un experto en ciberseguridad ha revelado detalles sobre una vulnerabilidad Zero-Day que afecta a los sistemas Microsoft Windows 10, la explotación exitosa de la falla puede permitir a un atacante con acceso al Command Prompt (CMD), corromper un Disco Duro con formato NTFS al ejecutar una única linea de comando.

Un grupo de expertos con el fin de confirmar la severidad de la vulnerabilidad, realizaron múltiples pruebas, enviando y ejecutando esta linea de comandos desde diferentes archivos, como de acceso directo, archivos comprimidos .ZIP, entre otros vectores de ataques utilizados para disparar los errores de disco duro que corrompe el index del filesystem al instante.

El investigador ha advertido en anteriores ocasiones sobre la vulnerabilidad, la cual actualmente aún no ha sido abordada. La peor parte es que puede ser disparada por cuentas de usuario con privilegios estándar o bajos en el sistema Windows.

Advertencia: Ejecutar el comando indicado en un sistema puede corromper la unidad de disco duro, haciendo que no pueda acceder a él. Se recomienda encarecidamente que pruebe este comando en solo en una máquina virtual que pueda ser restaurada con un backup realizado anteriormente, en caso que el disco duro se corrompa.

cd c:\\:$i30:$bitmap

El atributo Index NTFS de Windows, o la cadena “$i30”, es un atributo NTFS asociado con directorios que contienen una lista de los archivos y subcarpetas de los directorios. En ocasiones, el Index NTFS suele incluir archivos y carpetas eliminados, utilizado cuando se realiza una respuesta ante incidente o análisis forense.

Según el experto, aún no sabe el motivo por el que el acceso a este atributo corrompe la unidad y destaca que una “Registry Key” puede ayudar a diagnosticar el problema, pero no funciona.

El comportamiento del sistema una vez es ejecutado el comando, es la visualización de notificaciones y mensajes de Windows advirtiendo que “El archivo o directorio está corrompido y es inalcanzable”. El sistema solicita el reinicio del sistema, con el fin de reparar la partición del disco corrompido, durante el reinicio, se inicia el chequeo de la unidad e inicia a reparar el disco duro, luego de esto, el sistema Windows generará errores en el “Event log”, indicando que la Master File Table (MFT) para la unidad corrompida (en la imagen ejemplo es “C:”) contiene un registro dañado.

Error mostrado por el Event Log


Entre las diferentes pruebas que el experto realizó, destaca el vector de ataque mediante un archivo de acceso directo de Windows especialmente diseñado (.url), con la localización del icono establecida “C:\:$i30:$bitmap” pudiendo disparar la vulnerabilidad sin la interacción del usuario (Zero-click), el ataque inicia desde el momento en que el usuario descarga el acceso directo y entra en la ubicación del archivo, el explorador de Windows por defecto intenta mostrar el icono del archivo, accediendo en segundo plano a la ruta establecida para el icono del acceso directo, ejecutando la linea de comando y corrompiendo el disco duro en el proceso.

Lamentablemente, Microsoft aún no ha abordado esta vulnerabilidad, algo bastante extraño, sobre todo cuando el experto ha advertido al gigante corporativo sobre ella en anteriores ocasiones.




Referencia:

COMENTARIOS

Nombre

Actualización,5,Actualizaciones,4,AD,1,Adobe,3,Adware,4,AgentTesla,1,android,34,Antivirus,3,Apache,1,APP,1,Apple,17,Apps,14,APT,2,Arkavia Networks,16,asus,1,Ataques,8,Azure,3,Backdoor,5,Bancos,6,Barracuda,1,Bases de Datos,7,BCE,1,Bluetooth,1,bootHole,1,Botnet,8,Botnet. Malware,1,BYOVD,1,Check Point,5,Chile,3,Chips,1,Chrome,3,Ciberataque,9,Cibercrimen,156,Cibercriminales,4,Ciberdelincuencia,17,ciberseguridad,180,Cisco,4,Citrix,6,Cloud,3,Cloudflare,1,CMS,1,ComRAT,1,Comunicaciones,1,conexión,2,Consejos,2,CONVID,1,CookieThief,1,Coronavirus,1,Corporation,1,COVID19,2,CPU,3,Criptomineria,1,Criptomonedas,7,CSP,1,CTF,1,CVE,2,cyber day,2,Cyberwarfare,5,Dark Web,3,Data Breach,3,Data Leak,14,Database,3,DataLeak,2,Datos,2,DDoS,6,Debate,1,Deep Web,5,dispositivos,1,dlink,1,DNS,2,Domains,1,DoS,5,Dropper,1,Ecommerce,3,elasticsearch,1,Email,5,Emotet,3,Empresas,116,endpoint,1,enrutadores,1,Estadisticas,1,estado,1,evento,1,Eventos,6,Evilnum,1,Exchange,5,exploit,9,Exploits,15,Extensiones,2,Extensions,2,F5 Networks,1,Facebook,9,Falla,3,Fileless,1,Fintech,1,FireEye,2,Firewall,1,Firmware,2,Flash,2,Fortinet,1,Framework,1,FreakOut,1,Freta,1,GARMIN,2,Git,1,GitHub,1,Glueball,1,Gmail,3,gobierno,1,GoDaddy,1,google,35,Gootkit,1,GPS,2,GRUB2,1,grupoatp,1,Hacking,85,HALLOWEEN,1,Hardware,7,Hosting,3,HTML5,1,HTTP,2,IBM,1,IGMP,1,Industria,10,Infostealer,3,Instagram,2,Intel,2,Internacional,40,Internet,36,Investigacion,9,IOC,7,ios,6,IoT,4,ipad,1,iphone,1,ISO,1,Javascript,1,Joomla,1,LATAM,1,Latinoamerica,1,lazarus,1,LG,1,Linux,10,LoLbins,1,LSASS,1,macOS,1,Macromedia,1,malicioso,1,Malware,57,Malwares,32,Maze,2,MDM,1,memento,1,Messenger,1,MFA,1,Microsoft,41,Mirai,2,Monero,1,mongoDB,1,MSP,1,MSSQL,1,Mukashi,1,musica,1,Nacional,10,NAS,2,navidad,1,Nefilim,1,Negocios,2,Netgear,1,Netwalker,1,Node.js,1,Nube,1,Openwrt,1,Oracle,3,OS,9,Passwordless,1,Payload,2,Paypal,1,phishing,20,PHP,1,Plugins,1,PoC,2,prevención,1,Protocolos,12,ProxyLogon,1,Python,2,QNAP,1,QR,1,Ragnar_Locker,1,Ransomware,26,RAT,2,RCE,3,RDoS,1,RDP,4,Recomendaciones,21,Redes,31,redes sociales,12,Redhat,1,regalo,1,RegretLocker,1,Remoto,1,REvil,1,Rookit,1,Rootkit,2,Routers,3,RRSS,2,Ryuk,1,Saintbot,1,Salt,1,Salud,3,SAP,1,SeguridadTI,4,Servicios,8,Smartphones,30,SMB,5,Sodinokibi,1,Software,24,solarwinds,1,SonicOS,1,Sonicwall,1,Sophos,1,Spambot,1,Spamhaus,1,spotify,1,Spyware,11,SQL,1,SSL,1,streaming,1,Takedown,1,Teams,1,TeamViewer,1,tendencia,2,TerraMasterOS,1,Tool,1,Tools,2,TOS,1,Tplink,1,Trickbot,1,Trojan,4,Troyano,6,último,1,Update,6,updates,22,USB,1,Videoconferencia,1,VM,1,vmware,1,VNC,1,VPN,6,Vulnerabilidad,42,Vulnerabilidades,81,Web,8,WER,1,WhatsApp,7,Whirlpool,1,wifi,5,Windows,24,Winrar,1,Wordpress,4,Worm,2,Xerox,1,XG,1,Yahoo,1,Zeroclick,1,zeroday,4,Zerologon,1,Zoom,3,Zoombombing,1,
ltr
item
Arkavia Networks News: Zero-Day sin parchear en Windows 10 corrompe el disco duro con una sola linea de comando
Zero-Day sin parchear en Windows 10 corrompe el disco duro con una sola linea de comando
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgyW1l3ePfXI-6OhtJumn_GD1v1awzdOtB9W1lHKk3eWWi7UaFuX6zQ02849QnEIT7fbTGfEegSELGx766RwTm5uSxqvExCKz0a_pFGGkUWSQRX6R2mPMhdOpo2WbpJhu7-a3-94cHGfDI/w640-h320/ZeroDay+Windows+corrupted+Hard+Drive.jpg
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgyW1l3ePfXI-6OhtJumn_GD1v1awzdOtB9W1lHKk3eWWi7UaFuX6zQ02849QnEIT7fbTGfEegSELGx766RwTm5uSxqvExCKz0a_pFGGkUWSQRX6R2mPMhdOpo2WbpJhu7-a3-94cHGfDI/s72-w640-c-h320/ZeroDay+Windows+corrupted+Hard+Drive.jpg
Arkavia Networks News
https://www.arkalabs.cl/2021/01/zero-day-sin-parchear-en-windows-10.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2021/01/zero-day-sin-parchear-en-windows-10.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy