Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향Windows 10 NTFS 손상 버그의 비공식 임시 패치 발표
작성일 2021-01-26 조회 57

Windows fixes

 

 

개발자들은 특수하게 조작된 파일로 인한 NTFS 볼륨 손상 버그에 대한 비공식 수정 사항을 발표했다.

 

이달 초, Bleefing Computer는 보안 연구원인 Jonas Lykkegaard에 의해 발견된 Windows 10 NTFS 버그에 대해 기사를 발표했다.

 

볼륨이 dirty로 표시되면, windows에서 드라이브가 손상되었다는 오류를 표시하고, chkdsk를 실행한 후 손상 문제를 수정하도록 컴퓨터를 재부팅하라는 메시지를 표시한다.

 

[그림 1. chkdsk 실행]

 

이 버그는 Windows XP를 포함한 Windows 10 이전 버전에 영향을 끼친다. 

 

윈도우를 전문으로 하는 소프트웨어 개발 회사 OSR은 마이크로소프트의 공식 수정을 기다리는 동안 NTFS 버그가 남용되는 것을 방지하는 오픈 소스 필터 드라이버를 출시했다.

 

'i30Flt'라고 불리는 이 필터 드라이버는 ":$i30:"로 시작하는 스트림에 액세스하려는 시도를 모니터링하고, 감지되면 버그를 트리거하기 전에 차단한다.

 

이 버그를 이용한 NTFS 손상은 chkdsk에 의해 해결될 수 있지만, 그렇지 않은 경우도 있었다. 

 

드라이버 설치를 위해서는 아래 GitHub 페이지에서 드라이버를 다운로드 하고, 관리자 권한의 명령 프롬프트를 연 다음 다음 명령을 입력한다.

[Git Repository: https://github.com/OSRDrivers/i30Flt]

 

RUNDLL32.EXE SETUPAPI.DLL,InstallHinfSection DefaultInstall 132 .i30flt.inf

wevtutil im i30flt.man

fltmc load i30flt

 

OSR 드라이버가 설치되면 아래와 같이 "$i30:"가 포함된 경로에 액세스하려는 시도가 감지되면, 이를 차단하고 이벤트 로그를 생성한다.

 

 

Event created by filter drive

[그림 2. 공격 탐지시 생성되는 이벤트 로그]

 

 

만약 마이크로소프트에 의해 패치가 완료된다면 다음 명령을 사용하여 필터 드라이버를 제거할 수 있다.

 

 

RUNDLL32.EXE SETUPAPI.DLL,InstallHinfSection DefaultUnInstall 132 .i30flt.inf

 

출처

https://www.bleepingcomputer.com/news/microsoft/windows-10-ntfs-corruption-bug-gets-unofficial-temporary-fix/

첨부파일 첨부파일이 없습니다.
태그 NTFS