Abonner
SIKKERHET

Filsti får Windows 10 til å krasje, også via nettleseren

Trolig mest egnet til å gjøre hærverk.

En tilsvarende blåskjerm (BSOD) som dette dukker opp dersom man åpner filstien som er omtalt i saken.
En tilsvarende blåskjerm (BSOD) som dette dukker opp dersom man åpner filstien som er omtalt i saken. Illustrasjonsfoto: Harald Brombach
Del
Kommenter
Harald BrombachHarald BrombachJournalist
18. jan. 2021 - 16:00

Tenkt deg om før du taster filstien nedenfor inn i nettleseren eller Filutforsker-verktøyet i Windows 10. Den får hele operativsystemet til å krasje, og det kan ta litt tid før det er klart til å kjøres igjen. 

Vis mer

Dette er en adresse til en enhet («device») lokalt på PC-en. Den kan også brukes i lenker i epost eller på websider. Å få andre til å klikke på lenkene er en effektiv måte å få andres PC-er til å krasje på. 

Artikkelen fortsetter etter annonsen
annonsørinnhold
Defendable AS
Dette var grepene som reddet Gran kommune fra en potensiell katastrofe

Det er Bleeping Computer som omtaler denne sårbarheten, som er oppdaget av sikkerhetsforskeren Jonas Lykkegaard. Han har også funnet en lignende, men mer alvorlig sårbarhet som gjør det relativt enkelt å korrumpere lagringsenheter som er formattert med filsystemet NTFS. Også denne er tidligere omtalt av Bleeping Computer.

Mangelfull feilsjekking

Den førstnevnte sårbarheten er ifølge Bleeping Computing relatert til en mulighet Windows-utviklere har til å samhandle direkte med enheter i Windows. Blant annet kan de samhandle direkte med en fysisk lagringsenhet uten å gå via filsystemet. 

Det er dette som gjøres med filstien over, hvor det gjøres et forsøk på å koble til filstien uten å oppgi et forventet attributt. Istedenfor å avvise kommandoen og gi en feilmelding, forårsakes et unntak som fyrer av en blåskjerm (BSOD) og Windows krasjer. 

Det blir åpnet etterforskning av Microsoft for mulig misbruk av markedsmakt, ifølge flere amerikanske medier.
Les også

Medier: USA i strupen på Microsoft

Fungerer utmerket

Digi.no testet det hele ved å lime inn filstien i adressefeltet til Chrome og å trykke på «Enter». Det ble full krasj med en gang. Frykten var at det ville bli vanskelig å få åpnet Chrome igjen i den samme økten og med de samme fanene som før krasjen, men fanen vi hadde åpnet filstien i, var ikke blant dem som ble åpnet da vi ba Chrome om å gjenopprette.

Det er selvfølgelig dumt å teste slikt i et produksjonsmiljø.

Når det er sagt, er det ifølge Bleeping Computer mulig å utnytte sårbarheten på en slik måte at angripere med admin-rettigheter kan kjøre en kommando som får alle Windows 10-PC-ene i et nettverk til å krasje. 

Microsoft skal ha blitt varslet om begge de to omtalte sårbarhetene.

– På høy tid å sikre mobilene mot sårbarheter og angrep, sier Morten Meier i Techstep.
Les også

Advarer mot manglende kontroll på ansattes mobil

Les mer om:
OPERATIVSYSTEMER OG PROGRAMVARESIKKERHETWINDOWS 10
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Fra skolebenk til kontor
Les mer
Fra skolebenk til kontor
Ny i dag
Leonhard Nilsen & Sønner AS
IT Security Manager
Ny i dag
Digitaliseringsdirektoratet (Digdir)
Seniorutviklere
Teknisk Ukeblad Media AS
Ansvarlig for data og innsikt
Digitaliseringsdirektoratet (Digdir)
Sikkerhetsressurs
Sporveien
Avdelingsingeniør automasjon
Teknisk Ukeblad Media AS
Leder salg
En tjeneste fra