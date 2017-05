Een fout in het verwerkingsproces van bestandssysteem NTFS maakt dat hackers pc’s met Windows 7 en 8 gemakkelijk kunnen laten crashen door slachtoffers naar een speciaal opgezette website te lokken. De bug vertoont erg veel gelijkenissen met een kwetsbaarheid die in de jaren ‘90 pc’s uitschakelde.

NTFS

De zwakke plek zit in het bestandssysteem dat Windows gebruikt, NTFS. Een bestandssysteem is een cruciaal onderdeel van een besturingssysteem: de software houdt bij welke datastukjes bij een bepaald bestand horen en maakt dat het OS deze snel kan opvragen uit het geheugen.

De bug in kwestie maakt misbruik van speciale namen die NTFS hanteert voor bestanden die eigenlijk geen bestanden zijn. Hackers steken die speciale termen als afbeeldingsbron op een webpagina. Wanneer men die website laadt en de computer probeert om de afbeelding te zoeken, ontstaat er een kortsluiting in het bestandssysteem.

Concon en $MFT

In de jaren ’90 was het de bestandsnaam ‘con’ die computers vast deed lopen. Het was een term die verwees naar hardware: de fysieke console van een systeem bestaande uit de monitor en het toetsenbord. Windows (toen nog 95 of 98) kon simpele verzoeken op die naam nog wel verwerken. Wanneer men echter twee keer refereerde naar ‘con’, bijvoorbeeld door de pc te laten zoeken naar een bestand in C:/con/con, sloeg NTFS tilt.

De huidige bug maakt gebruik van een andere speciale referentie, $MFT. $MFT verwijst naar de metadata-bestanden die NTFS gebruikt om informatie over bestanden bij te houden. Deze metadata staat verborgen op je computer en is normaal niet toegankelijk voor een gewone gebruiker. Pogingen om de bestanden te openen worden normaal gezien geblokkeerd, maar net als bij de concon-bug kunnen hackers dat omzeilen door de bestandsnaam als een map op te vragen.

Surf je naar een webpagina met een afbeelding die verwijst naar C:/$MFT/, dan verslikt NTFS zich daar in. Het bestandssysteem zal vastlopen en soms ook crashen. Ongeacht hoe je pc reageert, je zal deze opnieuw moeten opstarten om de bug te neutraliseren.

De zwakke plek lijkt alleen aanwezig te zijn in Windows 7, 8.1 en Vista. Recente machines met Windows 10 ontsnappen aan de dans. Microsoft is ondertussen op de hoogte gesteld van de kwetsbaarheid, maar heeft nog geen patch klaar.