Egy új, meglehetősen kellemetlen Windows 10 hibajelenségre bukkantak a szemfüles biztonságtechnikai szakemberek a napokban, amely miatt előfordulhat, hogy egy adott NTFS partíció tartalma sérül, a bugban rejlő lehetőségeket pedig nagyon könnyű kiaknázni, számos támadási forma áll rendelkezésre. Az sajnos nem derült ki, pontosan mi okozza a fájlrendszer sérülését, de az már tudható, hogyan lehet reprodukálni.

Gyakorlatilag az NTFS fájlrendszer indexattribútumát érinti a bug ($i30), amelynek következtében előidézhető a fájlrendszer sérülése, ehhez csak egy egysoros parancs alkalmazására van szükség, amihez ráadásul rendszergazdai jogosultság sem szükséges, éppen ezért igencsak veszélyes a sebezhetőség. Ha az adott parancs lefut, a Windows azonnal érzékelni fogja, hogy sérült a fájlrendszer, újraindítást kér, majd megpróbálja orvosolni a hibát, ám ez nem mindig sikerül, és ha sikerül is, rendkívül hosszú ideig tarthat.

A problémát súlyosbítja, hogy ezt az egysoros kódot könnyedén be lehet ágyazni egy ZIP állományba, egy Windows parancsikonba, kötegfájlokba, illetve számos egyéb „terjesztési” módja van, ráadásul az adott fájlt vagy állományt esetenként meg sem kell nyitni, így is előidézhető a hiba. A fájlok persze nem kerülnek törlésre, így helyreállításukra is van lehetőség a megfelelő alkalmazással, de a probléma így is rendkívül kellemetlen.

Jonas L, aki a hibát felfedezte, azt is kipróbálta, mi a helyzet, ha az ominózus parancsot egy asztali parancsikonba rejti: elég csak létrehozni a parancsikont, az elem helyéhez beírni ezt a sort C:\:$i30:$bitmap, majd az ikon mentése után máris előáll a hiba. Hogy miért nincs szükség az ikon megnyitására? Mert a Windows Explorer alap esetben megpróbálja megjeleníteni annak a fájlnak az ikonját, amelyre a parancsikon mutat, ezért automatikusan felkeresi az URL-ként megadott helyet, ami ugye a C:\:$i30:$bitmap, ennek következtében lefut a parancs, így kész is a baj, sérül az NTFS fájlrendszer.

A Windows fájlrendszer-hibával kapcsolatban azonnal figyelmeztetést ad, újraindítást kér és utána vagy helyre tudja állítani az MFT-t (Master File Table), vagy nem. A kutatók szerint olyan speciális távoli HTML fájlt is létre lehet hozni, ami képes meghívni az említett $i30 elérési utat, azaz rajta keresztül szintén előidézhető a fájlrendszer sérülése.

A ZIP fájl részeként történő terjesztés is okozhat problémákat, ekkor ugyanis sok valós fájl közé lehet rejteni az aljas módon létrehozott parancsikont, ami a fájlok kicsomagolásakor idézi elő a bugot. A tesztek szerint a parancsikonon, vagy parancssoron keresztül történő kódfuttatást követően a lemezellenőrző esetenként helyre tudja állítani a sérült fájlrendszert, újraindítást követően a speciálisan megszerkesztett parancsikonból azonban eltűnik az említett parancs, helyére pedig üres bájtok kerülnek.

A hiba a Windows 10 esetében a 1803-as kiadás óta biztosan jelen van, ám egyes tesztek szerint a Windows XP-t is érinti.