La semana pasada, se daba a conocer un fallo en Windows 10 que, con solo ejecutar un comando, podía borrar todos los datos de nuestro disco duro. Investigadores de seguridad llevan desde el pasado mes de agosto de 2020 reportando este fallo a Microsoft, recibiendo como respuesta tan solo silencio. Ahora que este problema se ha dado a conocer mucho más, y se ha empezado a ver que explotarlo es mucho más fácil de lo que parecía, hay desarrolladores que han empezado a crear sus propias mitigaciones no oficiales frente al fallo del driver NTFS. Y ya podemos instalarlas nosotros en nuestro PC para protegernos de este fallo.
Este fallo se encuentra en el controlador NTFS de Windows 10, y afecta a cualquier versión del sistema operativo, desde XP hasta la rama Insider más nueva. Lo que hace es que, al ejecutar el siguiente enlace (desde una ventana de CMD, por ejemplo), se corrompe automáticamente todo el índice de archivos del disco duro.
cd c:/$i30:$bitmap
Aunque Windows nos mostrará un mensaje para iniciar una reparación del sistema, ya será demasiado tarde. Todos los datos guardados en el disco duro habrán desaparecido. Si revisamos el visor de eventos de Windows podremos ver un error en el que nos indicará que la Master File Table (MFT) del disco duro está corrupta.
Aunque es posible ejecutar el comando CHKDSK para analizar el disco duro, reparar la tabla de archivos y recuperar los datos, no podemos negar que se trata de un fallo muy molesto. Y no siempre funciona este comando, ya que hay usuarios que, tras encontrarse con el fallo dos veces, han perdido los datos para siempre. Y es muy fácil de esconder en scripts o programas maliciosos. Por tanto, disponer de un parche, aunque sea no oficial, es de agradecer.
Nuevo driver no oficial para protegernos de la corrupción NTFS
Este nuevo driver llega de la mano de un investigador de seguridad, en forma de controlador de código abierto, bajo el nombre «i30Flt«. Lo que hace este driver es monitorizar constantemente el acceso del disco a «$i30», y si detecta que se está intentando entrar en dicho directorio, bloquea automáticamente el intento antes de que se llegue a corromper la tabla de particiones del disco.
Para instalar este driver, lo primero que debemos hacer es bajar la última versión del mismo desde su repositorio de GitHub y guardarlo en una carpeta que tengamos a mano en el PC. Una vez hecho, abriremos una ventana de CMD, con permisos de Administrador, y ejecutaremos los siguientes comandos en el PC:
RUNDLL32.EXE SETUPAPI.DLL,InstallHinfSection DefaultInstall 132 .i30flt.inf
wevtutil im i30flt.man
fltmc load i30flt
Listo. Reiniciamos el ordenador (aunque es opcional) y el nuevo filtro NTFS estará activo. Si intentamos ejecutar el comando que hemos visto al principio, este filtro actuará y lo bloqueará automáticamente, evitando que se corrompa el disco duro.
Cuando Microsoft lance su nuevo parche oficial (si es que lo hace) podemos desinstalar este controlador ejecutando simplemente el siguiente comando:
RUNDLL32.EXE SETUPAPI.DLL,InstallHinfSection DefaultUninstall 132 .i30flt.inf
Así volveremos al driver oficial NTFS de Windows 10, sin modificaciones, para protegernos de este problema tal como nos aconseje la propia compañía.