Author: Michele Nasi IlSoftware.it
Nei giorni scorsi avevamo parlato del curioso bug scoperto dal ricercatore Jonas Lykkegaard che può causare problemi a livello di file system impedendo anche il riavvio di Windows 10: Windows 10 potrebbe non avviarsi più soltanto accedendo a una cartella.
Il problema di sicurezza non è di poco conto perché può essere sfruttato anche da un malintenzionato sprovvisto dei privilegi di amministratore.
Dopo aver utilizzato un singolo comando, Windows 10 informa circa la corruzione del file system NTFS e propone di riavviare la macchina per correggere il problema.
L’utilità chkdsk può impiegare addirittura ore per risolvere la situazione e in alcuni casi più sfortunati il sistema non si riavvierà comunque.
Un malintenzionato potrebbe anche realizzare un semplice file che, una volta salvato sul sistema locale, senza neppure essere aperto, può causare il malfunzionamento a livello di NTFS. Si pensi ai collegamenti di Windows in formato .lnk: dal momento che il loro contenuto viene esaminato non appena si accede alla cartella che li contiene il sistema operativo potrebbe andare in panne senza che l’utente faccia clic sul file.
Una soluzione non ufficiale per arginare il problema
OSR, sviluppatore che da tempo si occupa di studiare gli aspetti più reconditi del funzionamento di Windows, ha rilasciato un driver opensource che si occupa di filtrare eventuali comandi dannosi, almeno fintanto che Microsoft non avrà rilasciato una patch ufficiale.Il filter driver è stato presentato in questa pagina mentre da GitHub è possibile effettuarne il download gratuito.
OSR spiega che i30Flt, una volta installato in Windows, si occuperà di bloccare qualunque tentativo di utilizzo dell’attributo $ i30 di NTFS, almeno nella forma che può essere sfruttata per fare danni.
Per installare il filter driver basta salvare il contenuto dell’archivio compresso di i30Flt in una cartella di propria scelta quindi impartire al prompt i seguenti comandi:
rundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 132 .\i30flt.inf
wevtutil im i30flt.man
fltmc load i30flt
Il driver verrà così installato e non ci sarà neppure bisogno di riavviare Windows affinché la modifica venga presa in carico. Ogni volta che dovessero essere rilevati tentativi di utilizzo dell’attributo $ i30, nel registro degli eventi sarà memorizzato un avviso con sorgente i30Flt.
Non appena Microsoft avrà rilasciato la patch correttiva, per disinstallare il driver basterà usare il comando che segue:
rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 .\i30flt.inf
Il problema è stato rilevato anche nelle versioni del sistema operativo precedenti a Windows 10.
Microsoft risolve il problema ma soltanto nelle versioni di anteprima di Windows 10
Con una recente presa di posizione, i tecnici di Microsoft hanno spiegato che provando ad accedere al percorso indicato il file system non viene davvero danneggiato e che l’analisi dell’unità di memorizzazione con l’utilità chkdsk solitamente risolve il problema. “Solitamente” perché sono stati registrati più casi in cui Windows non si è più avviato.
Dal momento che Microsoft non ha rilasciato un aggiornamento correttivo a febbraio, Mozilla ha deciso di intervenire in proprio, a livello del browser Firefox, per impedire il trasferimento al sistema operativo di URL dannosi: Firefox risolve il problema degli URL che possono danneggiare il file system NTFS.
Con il rilascio di Windows 10 build 21322, versione di anteprima destinata agli iscritti al programma Windows Insider, Microsoft sembra aver finalmente corretto il problema. Provando a sfruttare il percorso malevolo, Windows 10 restituisce il messaggio d’errore “Nome cartella non valido” senza più segnalare alcun problema a livello di file system.
Purtroppo la correzione è stata applicata soltanto sul canale “Dev” di Windows 10: difficile quindi che possa essere integrata nel pacchetto Windows 10 21H1 atteso per tra la prossima primavera e l’inizio dell’estate: Windows 10 21H1 arriverà in ritardo, soltanto a giugno. Ecco perché.