Windows 10: Datei beschädigt Festplatte, sobald man sie herunterlädt

15.01.2021

Die Datei muss nicht mal ausgeführt werden, um Schaden im NTFS-Dateisystem anzurichten.

Dieser Artikel ist älter als ein Jahr!

Eine Schwachstelle in Windows 10 kann genutzt werden, um im schlimmsten Fall einen kompletten Datenverlust zu verursachen. Wie Bleeping Computer berichtet, hat der Sicherheitsforscher Jonas L schon im August und Oktober 2020 Microsoft von der Schwachstelle berichtet. Weil sie immer noch nicht beseitigt wurde, hat er sie jetzt öffentlich gemacht.

Bei dieser Schwachstelle reicht ein kurzer Befehl in der Eingabeaufforderung, um einen Fehler im NTFS-Dateisystem zu verursachen. Dieser Befehl lässt sich in einer Datei verstecken, wie etwa einem Windows Shortcut File (.url). Der Icon-Pfad enthält den gefährlichen Befehl. Sobald also die Datei auf dem Rechner ist und Windows 10 versucht das Icon dafür zu laden, führt es den Befehl aus – ohne, dass der User aktiv die Datei geöffnet hat.

Weitere Angriffsmethoden

Zur Ausführung des Befehls sind keine Administrator-Rechte nötig, weshalb man sich gegen diese Art von Angriff derzeit kaum schützen kann. Angreifer könnten so eine Shortcut-Datei etwa auch in eine ZIP-Datei mit normalen, nicht schädlichen Inhalten dazugeben. Sobald der User die Datei entpackt, wird der Befehl ausgelöst.

Laut Jonas L sei es möglich, diese Schwachstelle auch mit anderen Lücken zu kombinieren. Es sei etwa möglich HTML-Seiten so zu manipulieren, dass sie auf einen Pfad verweisen, der den schädlichen Befehl enthält. Besucht man die entsprechende Website, würde der schädliche Befehl automatisch am Computer ausgeführt.

Reparieren notwendig

Wird der Befehl direkt eingegeben, durch eine manipulierte Datei oder Website ausgeführt, taucht sofort eine Fehlermeldung auf: „Computer zum Reparieren von Laufwerksfehlern neu starten.“ Der Computer startet dann neu, in den meisten Fällen wird der Fehler repariert.

Laut Jonas L kann es aber auch passieren, dass durch den Befehl die NTFS Master File Table (MFT) beschädigt wird. Im schlimmsten Fall kann dann auf das Laufwerk oder die Partition nicht mehr zugegriffen werden: Windows 10 fordert auf das Laufwerk zu formatieren, bevor es verwendet werden kann.

Laut The Verge hat ein weiterer Sicherheitsforscher das Problem bestätigt und noch dazu festgestellt, dass die Schwachstelle schon seit 3 Jahren existiert. Außerdem wurde noch gleich auf eine andere NTFS-Schwachstelle hingewiesen, die seit 2 Jahren bekannt ist und von Microsoft immer noch nicht gepatcht wurde. Microsoft will jetzt zumindest die 3 Jahre alte Schwachstelle beseitigen.