Непривилегированный пользователь может повредить файловую систему одним обращением (в том числе через ярлык, даже не щелкая по нему), повреждение лечится чекдиском при перезагрузке.


https://www.bleepingcomputer.com/news/security/windows-10-bug-corrupts-your-hard-drive-on-seeing-this-files-icon/
https://habr.com/ru/news/t/537328/

да-да-да, на продактовом сервере сразу проверяйте

Особенно печально,когда иконка в lnk ссылается на такой файл,ее требуется только отрисовать на экране и приплыли.

а где там про повреждения?

просто ошибка доступа, и флаг проверки диска. Т.е. ничего не ломается и не портиться. В чем проблема?

(4) ну вообще она портит NTFS, причем до конца непонятно, насколько велик возможный "трек ошибки" драйвера. При неудачном стечении обстоятельств после лечения чекдиском можно просто не найти файлов в каталоге, где они были, или самого каталога.

NTFS - это, конечно, не FAT, ее изгадить до такого состояния, чтобы потерялись записи о файлах, посложнее. Но возможно. У меня случаи были.

(5) Ничего она не портит, просто файл выставляет что нужна проверка

*файл = флаг

Просто неудобство в виде необходимости лишний раз прогнать проверку диска, ниокакой порче, зависаниях, перезагрузки речь не идет

(7) Да сам по себе факт того, что юзер может нагадить в защищенные системные области файловой системы - это уже много

(10) что значит "нагадить в защищенные системные области файловой системы"?

(11) То и значит. Испортить индекс NTFS путем вызова чтения определенного файла.

(12) А кто сказал что она индекс портит?

в статье "Учёный изнасиловал журналиста"
Потому что нет никаких доказательств , есть только ничем необоснованное мнение. Т.е. нигде не сказано что в результате исследование была подтверждена порча чего либо, сказано что запускается проверка диска, а значит по нашему мнению уязвимость портит файлы на диск, т.е. хайли лайкли

(7) там драйвер работает непредусмотренным образом. Непонятно, какое решето может получиться из индекса.

(15) А кт о сказал что индексы меняются? Журналисты?

(0) Это ещё что. Есть новости и похлеще

Более 100 000 межсетевых экранов и VPN-шлюзов Zyxel содержат встроенный бэкдор
10:59 / 2 Января, 2021
Подробнее: https://www.securitylab.ru/news/515201.php

Там просто при обращении к несуществующему индексу драйвер считает,что файловая система разрушена.
А потом,требуется немедленная перезагрузка и запуск проверки диска.
Так как индекса не было,то он и не появится,а с другими ничего не случится.
Но,тот факт,что при просмотре папки с файлом lnk,имеющим ссылку,создающую данную ошибку,оно срабатывает,даже не требуя открытия файла-это очень печально.
P.s.я обычно проверял пути на то,чтобы в них двоеточие было только после имени диска,и теперь понимаю,что это правильно.

(18): т.е. если не ярлык на раб.столе, который зацикливает эту ошибку, а просто командой испортить - то ребут с авто-чеком тупо проверяет и сбрасывает флаг без всяких последствий в дальнейшем?..

Меня интересует прежде всего главный момент: сможет ли обычный юзер сервака таким образом выполнить перезагрузку сервака?

(20) нет

(21): но может таким образом заставить админа это сделать ... ))

(22) покажи мне админа который с красными глазами смотрит журнал событий и как только появляется эта ошибка тут жет жмёт кнопку ресет

(23): фигу. ты покажи мне админа, который придя на работу (или подключившись к ней) и обнаружив на своем серваке эту байду - будет тупо ее игнорить а не ребутать сервак...

(24) какую эту?

Я не понимаю как ты представляешь сценарий этого действия.
Админ создал этот ярлык увидел последствия, испугался, обосрался, и после этого каждое утро перегружает сервак?

Или пользователь решил потролить админа, создал у себя ярлык, дождался сообщения и побежал звать админа со словами, я ничего не трогал оно само?

Админы не мониторят по утрам журнал событий. Когда все работает жалоб нет, зачем читать тонны муссора из журнала в поисках, а вдруг это все иллюзия и нужно перегрузить сервак.

Т.е. что именно и как должен обнаружить админ придя на работу?

(26): что-то ты не в теме.
юзер запустил эту команду в терминальной сессии адын рас, отключился и пошел домой...

(27) И? У него локально выскочило это сообшения, другие даже не увидят его. Дальше что? Обычно админы тупо выкидывают ссесию или она умирает по таймауту. А у вас как? Админы перехватывают сесию, читают и запоминают все что открыто и только после этого закрывают?

зашел у себя на сервер 2012r2 и на 2008r2 запустил командную строку и вписал туда
cd C:\:$i30:$bitmap
в ответ - неверно задано имя папки

На домашнем компе, где старая 10-ка стоит
Файл или папка повреждены. Чтение невозможно.

При этом никаких сообщений нигде не выскочило
только в журнале события в разделе система 2 записи

Том C: (\Device\HarddiskVolume2) необходимо перевести в автономный режим для полной проверки диска.  Запустите команду "CHKDSK /F" локально с помощью командной строки либо выполните команду "REPAIR-VOLUME <диск:>" локально или удаленно с использованием PowerShell.

и

Обнаружено повреждение в структуре файловой системы на томе C:.

Основная таблица файлов (MFT) содержит поврежденную запись файла.  Номер ссылки файла: 0x5000000000005.  Имя файла: "\".


Т.е. я как пользователь даже не заметил ничего "страшного"

А нет в окне уведомления которая в левом правом углу под конвертиком надпись появилась
"Перегрузите чтобы устранить ошибки диска"

Просто она не приоритетное, а у меня стоит отображать только приоритетные поэтому я и не увидел с первого раза

мнда.. точно не в теме. спасибо. буду знать, что твои рекомендации и замечания в части администрирования серверов и сетей можно пропускать смело и без потерь.
не огорчайся. удач тебе.

(32) так я как юзер запустил в терминале на серваке, и ничего

просвяти меня что я делаю не так

что мне надо нажать, чтобы потролить админов

(34): за "просвящением" - это не ко мне, это - к рпц.
(35): попробуй D вместо C например... ну или любой другой диск к которому юзер имеет доступ.

(36)+: а. и - да, не говори админу своему что это я тебе советовал.. ты же сам такой умом пытливый выклянчил..

(36) А какая разница? при условии что 2008 и 2012 сервак не подвержен этой уязвимости. Это можно увидеть только на 2019 серваке (который на базе 10-ки)

попробовал все локальные диски (CDE)
везде Неверно задано имя папки.

сработало только на сетевых папках
Файл или папка повреждены. Чтение невозможно.

При этом никаких сообщени или ошибок в журнале событий нет

так что не взлетело, что еще попробовать?

(26) "Когда все работает жалоб нет, зачем читать тонны муссора из журнала в поисках" // Так-то в нормальных местах абсолютно все журналы мониторятся, как минимум - на наличие ошибок и предупреждений

(41) Где? в Газпроме?
Так то в средне статическом "ларьке" где админ сын директора/главбуха так и представляю как это все мониторится
Да и в остальных местах, если в случае ошибки админ полезет в журнал событий - это уже будет сродни чудом.

А уж контор, где настроены системы мониторинга с выводом ошибок на большой экран - думаю можно по пальцам пересчитать, причем одной руки

Тебе любой админ скажет = а что там мониторить, это же Windows, там постоянно какие то непонятные ошибки лезут на ровном месте. Работает же все - значит всё хорошо. Будут проблемы приходи

(38): на этих попробуй например
dir c:\$mft\123

(44) Какое это имеет отношения к сабжу?

(45): ну вообще-то прямое. это аналогичное использование спец.файла в качестве каталога - в результате чего спец.файл лочится до холодной перезагрузки (ну и взводится флаг необходимости проверки). на 10 эти имена поменялись, а на указанных тобой системах фактически то же самое - (44).
и - я так понял ты испугался и не сделал? ))

ЗЫ: а вообще.. то, что тебе это приходится объяснять - многое объясняет, в том числе правоту (32) lol.
удачи.

Проверил баг на виртуалках в разных ОС.

Win XP -  есть
Win 7 - нет
Win 10 16.07 - нет
Win 10 19.09 - есть

Весело)

(48): а (44) на семерке есть?

(49) Я же написал. На семерке бага нет.

(50): ты написал вроде про (0) а не про (44)

На xp,насколько я помню,под правами админа можно было и mft нечаянно записать.
По крайней мере,идея - отстреливать двоеточия у меня как раз оттуда.

(52) Ну под правами админа в любой ОС можно много чего испортить.. это не уязвимость, а возможность. Суть в том что под баг (0) с повреждением ФС под юзером фиксируется.

(53): именно. ведь система (а не пользователь!) отрабатывает возникновение ошибочной ситуации в объекте - взводя флаг необходимости проверки (при невозможности проверить его непосредственно в момент обнаружения ошибки) в свойствах этого объекта - что вызывает дальнейшую блокировку внесения любых изменений в этот "ошибочный" объект до тех пор, пока "ошибка" не будет исправлена.

(54) А зачем это делать, если пользователь в принципе не имеет (не должен иметь) доступа к защищенным областям? То есть, пользователь обратился "куда не следует", у него это не получилось - это значит, что файловая система в принципе не изменилась и флаг ставить незачем. Тут одно из двух - или параноидальная виндовс поднимает флаг без повода, или же реально где-то нагадили и диск должен быть проверен. И в том и в другом случае поведение винды - баг.

(55): в смысле? доступ на чтение данных не давать ему вообще???
потому что иначе он пытается прочитать (используя некорректно спец.ресурс, как например в этом случае - файл в качестве каталога), система пытаясь предоставить затребованные данные обнаруживает ошибку, взводит флаг проверки, и т.п.

(56) Если пользователь может читать - почему поднимается флаг? Если пользователь не может - почему вообще допускается эта попытка? Если он всё-таки сумел прочитать - он же не записал ничего, почему нужно поднимать флаг проверки?

(57): система при попытке выполнить действие, затребованное пользователем и на которое пользователь имеет право - обнаруживает ошибку в системном ресурсе. и не может выполнить проверку непосредственно в этот момент. для этого взводится флаг, по которому проверка такоого ресурса (и исправление обнаруженных при проверке ошибок) будет выполнена тогда, когда такая возможность появится (при (пере)загрузке).
вабене!