Abbiamo parlato del curioso bug scoperto dal ricercatore Jonas Lykkegaard che può causare problemi a livello di file system impedendo anche il riavvio di Windows 10: Windows 10 potrebbe non avviarsi più soltanto accedendo a una cartella.
Il problema di sicurezza non è di poco conto perché può essere sfruttato anche da un malintenzionato sprovvisto dei privilegi di amministratore.
Dopo aver utilizzato un singolo comando, Windows 10 informa circa la corruzione del file system NTFS e propone di riavviare la macchina per correggere il problema.
L’utilità chkdsk
può impiegare addirittura ore per risolvere la situazione e in alcuni sfortunati casi il sistema non si riavvierà comunque.
Un malintenzionato potrebbe anche realizzare un semplice file che, una volta salvato sul sistema locale, senza neppure essere aperto, può causare il malfunzionamento a livello di NTFS. Si pensi ai collegamenti di Windows in formato .lnk
: dal momento che il loro contenuto viene esaminato non appena si accede alla cartella che li contiene il sistema operativo potrebbe andare in panne senza che l’utente faccia clic sul file.
Una soluzione non ufficiale per arginare il problema
OSR, sviluppatore che da tempo si occupa di studiare gli aspetti più reconditi del funzionamento di Windows, ha rilasciato qualche settimana fa un driver opensource che si occupa di filtrare eventuali comandi dannosi, almeno fintanto che Microsoft non avrà rilasciato una patch ufficiale.
Il filter driver è stato presentato in questa pagina mentre da GitHub è possibile effettuarne il download gratuito.
OSR spiega che i30Flt, una volta installato in Windows, si occuperà di bloccare qualunque tentativo di utilizzo dell’attributo $i30
di NTFS, almeno nella forma che può essere sfruttata per fare danni.
Per installare il filter driver basta salvare il contenuto dell’archivio compresso di i30Flt in una cartella di propria scelta quindi impartire al prompt i seguenti comandi:
rundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 132 .\i30flt.inf
wevtutil im i30flt.man
fltmc load i30flt
Il driver verrà così installato e non ci sarà neppure bisogno di riavviare Windows affinché la modifica venga presa in carico. Ogni volta che dovessero essere rilevati tentativi di utilizzo dell’attributo $i30
, nel registro degli eventi sarà memorizzato un avviso con sorgente i30Flt.
Chi avesse installato il driver non ufficiale può da oggi rimuoverlo con il comando rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 .\i30flt.inf
così da fare spazio all’installazione dell’aggiornamento ufficiale Microsoft.
Microsoft risolve il problema in tutte le versioni ed edizioni di Windows 10
Con una presa di posizione i tecnici di Microsoft hanno spiegato a fine gennaio che provando ad accedere al percorso indicato il file system non viene davvero danneggiato e che l’analisi dell’unità di memorizzazione con l’utilità chkdsk solitamente risolve il problema. “Solitamente” perché sono stati registrati più casi in cui Windows non si è più avviato.
Mozilla ha deciso di intervenire in proprio, a livello del browser Firefox, per impedire il trasferimento al sistema operativo di URL dannosi: Firefox risolve il problema degli URL che possono danneggiare il file system NTFS.
Con il rilascio degli aggiornamenti cumulativi di aprile 2021 per Windows 10, Microsoft sembra aver finalmente corretto il problema: provando a sfruttare il percorso malevolo, Windows 10 restituisce il messaggio d’errore “Nome cartella non valido” senza più segnalare alcun problema a livello di file system.
Il problema viene classificato con l’identificativo CVE-2021-28312 ed è considerata come una vulnerabilità che espone Windows 10 ad attacchi DoS (Denial of Service).
L’installazione delle patch ufficiali rilasciate da Microsoft lo scorso martedì consente di ripararsi da qualunque tentativo di aggressione: Patch day di aprile 2021: Microsoft risolve 114 vulnerabilità in Windows, Exchange e in altri software.