Путь к $MFT приводит в преисподняя

Русские исследователи безопасности из компании Aladdin нашли необычную изюминку в файловой совокупности NTFS, которая разрешает удаленно «подвешивать» ПК под управлением операционных совокупностей Windows Vista, Windows 7, 8 и 8.1.

На блог-платформе Habrahabr по этому поводу опубликована широкая статья, в которой разъясняется сущность и обстоятельство неприятности. По словам автора, пользователя под ником Anatolymik, в случае если при обращении к какому-либо файлу на системном диске применять в качестве имени каталога комбинацию $MFT (к примеру, C:\$MFT\), совокупность подвисает, причем вернуть ее работоспособность не оказывает помощь кроме того перезагрузка.

«В случае если постараться открыть любой файл относительно файла $mft, доступ ко всему тому «С» повиснет, а так как данный том есть системным, подвиснет и вся совокупность. Наряду с этим не требуется иметь каких-либо прав. В случае если же том был не системным, то повиснет лишь доступ к этому тому, но в случае если выполнить перезагрузку, то совокупность повиснет на ней», — написал Anatolymik.

Потом в собственной статье он подробно обрисовывает обстоятельства, по которым такая неприятность может появиться. А обстоятельства эти конкретно связаны с принципами работы всей совокупности NTFS, ее функций, которые связаны с поиском файлов и каталогов на дисках, и механизма сериализации ERESOURCE.

Посредством изюминки файловой совокупности NTFS возможно удаленно приводить
«к зависанию» совокупности на персональных компьютерах под управлением Windows Vista, 7, 8 и 8.1

«В то время, когда будет произведена попытка открыть файл относительно файла $mft, функция NtfsFindStartingNode не отыщет его, т.к. эта функция делает поиск пара в противном случае, в отличие от функции NtfsOpenSubdirectory, которая находит данный файл неизменно, — пишет Anatolymik. -Следовательно, начнет работу цикл, начиная с корня файловой совокупности. Потом функция NtfsOpenSubdirectory откроет данный файл и захватит его ERESOURCE монопольно.

На следующей итерации цикл найдёт, что файл не есть директорией, и, следовательно, прервет собственную работу с неточностью. А при завершении собственной работы функция NtfsCommonCreate при помощи функции NtfsTeardownStructures постарается закрыть его. Функция NtfsTeardownStructures, со своей стороны, столкнется с тем, что она не сможет закрыть файл, т.к. он раскрывается самой файловой совокупностью при монтировании. Наряду с этим, вопреки ожиданиям функции NtfsCommonCreate, функция NtfsTeardownStructures не высвободит ERESOURCE $mft файла.

Так, он останется захваченным окончательно. Исходя из этого, к примеру, при попытке создания файла либо чтения файлов тома, файловая совокупность NTFS постарается захватить ERESOURCE $mft файла и зависнет на этом этапе окончательно».

Практическое значение

Потенциальный преступник не сможет нанести какой-либо настоящий вред совокупности либо запустить произвольный код. Но привести «к зависанию» он сможет без особенных упрочнений, к примеру, указав в качестве URL изображения локальный путь к несуществующему файлу — с указанием на $mft.

Пользователи Chrome защищены от аналогичных трюков: данный браузер контролирует корректность адреса загружаемого изображения. В Firefox и IE аналогичных механизмов нет, исходя из этого пользователи этих браузеров находятся в зоне риска.

Пользователи Windows 10 защищены от угрозы, потому, что эта ОС базируется на новой файловой совокупности ReFS. В ней подобная уязвимость отсутствует.

Увлекательные записи:

• Спрос на мобильники в россии снова растет
• Средняя цена смартфона упадёт до $400
• Стал известен внешний вид нового iphone

Восстановление работоспособности Windows 7 после вирусного заражения