OSR lança correção não oficial para bug de corrupção NTFS do Windows 10

janeiro 26, 2021 gurinho

Uma solução não oficial de terceiros para o bug de travamento de string do Windows 10 NTFS foi revelada por uma empresa de desenvolvimento de software especializada em produtos Microsoft e Windows.

A correção do bug reduz a chance de um invasor ou golpista abusar da vulnerabilidade, embora dependa da instalação de uma correção de código aberto para fazer isso.

Corrigindo o bug NTFS

Em meados de janeiro de 2021, surgiu um bug do Windows 10 que faria com que um sistema travasse e marcaria seu disco rígido ativo como corrompido.

CRITICALIDADE DE VULNERABILIDADE NTFS SUBESTIMADA
–
Existe uma vulnerabilidade especialmente desagradável no NTFS agora.
Pode ser disparado abrindo um nome especial criado em qualquer pasta em qualquer lugar. '
A vulnerabilidade aparecerá instantaneamente reclamando sobre o seu disco rígido estar corrompido quando o caminho for aberto pic.twitter.com/E0YqHQ369N
– Jonas L (@jonasLyk) 9 de janeiro de 2021

A vulnerabilidade é acionada simplesmente olhando para uma determinada sequência de texto, números e símbolos em qualquer lugar do sistema. Se alguém lhe enviar um arquivo usando a string específica como nome do arquivo, o bug será acionado no momento em que você olhar o arquivo.

Por sua vez, o bug marca seu armazenamento ativo como "sujo", exibindo um falso problema de corrupção de armazenamento contendo uma mensagem de erro exigindo que você "Reinicie para reparar erros da unidade". Quando você reinicia o computador para "consertar" o erro, o utilitário de sistema do Windows CHKDSK entra em ação e corrige o problema – na maioria das vezes.

Agora, a equipe da OSR, uma empresa líder de desenvolvimento de software especializada em componentes internos do Windows, lançou um driver de código aberto que evitará que qualquer um abuse do bug NTFS antes que a Microsoft lance sua correção oficial.

Também temos um sistema aqui no OSR que não inicializará mais após executar um segundo chkdsk enquanto brinca com ele. Entre o aviso feio e o sistema quebrado aqui, achamos que vale a pena mitigar até que uma solução real seja lançada.

O OSR Developers Blog detalha a atualização do driver, explicando que "Não há como corrigir esse problema sem uma atualização para o Windows."

Nesse ínterim, o driver do filtro OSR monitorará todas as tentativas de acessar ou examinar um arquivo que contém a string específica, filtrando o gatilho "$ .i30".

Relacionado: a Microsoft está corrigindo uma exploração do Windows 10 que ataca quando você olha para ela

Como instalar o driver do filtro OSR NTFS

Você pode baixar e instalar a unidade de filtro na página GitHub do projeto.

Baixe o arquivo e extraia o conteúdo para uma nova pasta. Pressione CTRL + Shift + clique com o botão direito e selecione Abrir janela de comando aqui . Agora, execute os seguintes comandos para instalar o driver:

 RUNDLL32.EXE SETUPAPI.DLL,InstallHinfSection DefaultInstall 132 .i30flt.inf
 wevtutil im i30flt.man
 fltmc load i30flt

Quando quiser remover o driver de filtro (depois que a Microsoft lançar seu patch), execute o seguinte comando em um prompt de comando elevado:

 RUNDLL32.EXE SETUPAPI.DLL,InstallHinfSection DefaultUninstall 132 .i30flt.inf

Ainda não há uma data definida para um patch oficial. A Microsoft está trabalhando para corrigir a vulnerabilidade permanentemente. Por enquanto, o patch do driver do filtro OSR NTFS pode manter seu sistema protegido contra exploits.