Windows 7/8.1: Abstürze durch NTFS-$MFT-Bug

Ein Fehler im NTFS-Dateisystem von Windows 7, Windows 8.1 ermöglicht es Angreifern, Systeme mit Windows 7 oder Windows 8.1 zum Absturz oder zum Hängen zu bringen.


Anzeige

Crash bei fehlender Datei

Der Bug wurde durch einen russischen Systementwickler entdeckt, der die technischen Details hier offen legt. Er ist beim Entwickeln eines Dateisystemfilters auf das Problem gestoßen, welches nur Windows 7, Windows 8.1, nicht aber Windows 10 betrifft.

Der Bug tritt auf, wenn versucht wird, eine nicht existierende Datei über eine spezielle Pfadangabe anzusprechen. Das Problem steckt in der Master File Table (MFT), über die Zugriffe auf Dateien und Metadateien erfolgen. Mit der Pfadangabe C:\$MFT\foo hängen sich die genannten Windows-Version auf oder stürzen sogar ab.

Kurzer Text

Ich habe das Ganze mal mit einer Angabe C:\$MFT\foo\test.jpg in einer virtuellen Maschine unter Windows 7 Sp1 ausprobiert. Gebe ich die obige URL im IE 11 ein, hängt der Browser und ich kann keine Programme mehr starten. Ich kann zwar noch Fenster auf dem Desktop verschieben und das Startmenü öffnen. Das System ist aber faktisch tot – nicht mal der Task Manager lässt sich mehr aufrufen.

Nach sehr langer Zeit kommt noch ein Dialogfeld, dass der Prozess nicht mehr reagiert und ich werde aufgefordert, diesen zu beenden. Aber das bleibt ergebnislos. Abhilfe schafft dann nur, den Rechner herunter zu fahren. Immerhin kann ich in einer VM das Shutdown-Ereignis noch angeben, so dass Windows herunter gefahren wird.


Anzeige

Bei Bleeping Computer gibt man an, dass der Bug sich im IE und im Firefox ausnutzen lässt, während der Google Chrome-Browser den ungültigen Pfad abweist. Beim Firefox kann ich sogar den Pfad C:\$MFT\foo verwenden, während der IE 11 dies abweist. Je nach System kommt es wohl zum Hängern oder auch Abstürzen mit BlueScreens.


Anzeige

Dieser Beitrag wurde unter Allgemein abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

10 Antworten zu Windows 7/8.1: Abstürze durch NTFS-$MFT-Bug

  1. Kim O. Fee sagt:

    Stimmt … betrifft auch den Firefox; Opera meldet, dass "C:\$MFT\foo\test.jpg" nicht gefunden wird (also kein Problem), geht aber mit C:\$MFT\foo genauso in die Knie (in beiden Fällen lassen sich keine Tasks mehr beenden, Windows friert ein bzw. muss abgewürgt werden (… für solche Experimente besser ein Image bereithalten, die Systemwiederherstellung könnte sich als wirkungslos erweisen, falls das Dateisystem einen Knacks bekommt …)

    Jedenfalls eine lässige Sache – endlich mal wieder was zum coolen checken, Vielen Dank! ;-)

  2. Martin Feuerstein sagt:

    Funktioniert auch im Windows Explorer im Ausführen-Dialog. Funktioniert aber nicht in der Kommandozeile.

    C:\Windows\System32>dir c:\$MFT\
    Datenträger in Laufwerk C: ist Windows
    Volumeseriennummer: 70B1-3F8C

    Verzeichnis von c:\$MFT

    Datei nicht gefunden

    C:\Windows\System32>dir c:\$MFT\Windows
    Datenträger in Laufwerk C: ist Windows
    Volumeseriennummer: 70B1-3F8C

    Verzeichnis von c:\$MFT

    Datei nicht gefunden

    C:\Windows\System32>dir c:\$MFT\Windows\system32
    Das System kann den angegebenen Pfad nicht finden.

    –> der letzte Pfad ist es, der auch im Ausführen-Dialog zum Absturz führen, also Anfragen nach allem, was mind. eine Pfad-Ebene unterhalb von c:\$MFT ist.

  3. Nobody sagt:

    Schon seltsam, dass man mittels einer URL-Eingabe Windows zum Absturz bringen kann.

    • Kim O. Fee sagt:

      Der aktive Browser liegt zwar im Arbeitsspeicher, schreibt aber eingegebene Daten in den Cache und/oder in das Pagefile auf der Festplatte – also ins NTFS-Dateisystem … (um z.B. die Daten nach Abstürzen wiederherstellen oder dauerhaft speichern zu können …)

  4. Das war schon immer so und wenn du das ganze auch noch in den Autostart bekommst, bekommst du die Kiste gar nicht mehr zum Laufen.

  5. Ingenieurs sagt:

    Das passiert auch unter Windows Vista!

  6. Info sagt:

    Hat sich in der Angelegenheit inzwischen etwas geändert?
    2017-09

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.