Un nuevo bug que bloquea Windows 7 y Windows 8 se aprovecha de una característica propia de su sistema de archivos.

Windows tiene un historial bastante largo de bloqueos por cualquier mínima razón; por la manera en la que está construido el sistema, si un atacante consigue acceso a ciertos archivos, puede ejecutar el bloqueo fácilmente.

Estos archivos especiales permanecen en tu sistema; aunque normalmente no los puedes ver, a veces es posible encontrárselos con algunos programas. No están diseñados para ser usados normalmente; son usados por Windows para realizar ciertas acciones relativas al sistema.

Un archivo muy especial

$MFT es uno de estos archivos. Se trata de un archivo de metadatos, usado en el sistema de archivos NTFS; por lo tanto, está presente por defecto en el directorio principal de todos los discos duros formateados por Windows.

Normalmente $MFT es inaccesible, sólo disponible para el driver NTFS; y de hecho no lo encontrarás incluso si abres C: y configuras el explorador para ver los archivos ocultos. Pero eso no significa que no se pueda usar, si bien con molestos resultados.

windows 7

El bug revelado en las últimas horas permite acceder al archivo $MFT para bloquear el sistema; lo peor es que atacantes pueden acceder muy fácilmente, sólo con que accedamos a una página web con cualquier navegador.

El truco consiste en, por ejemplo, crear una página web con una imagen, indicando al navegador dónde está; la dirección indicada es un directorio cualquiera dentro del archivo $MFT. Evidentemente, $MFT no tiene directorios, por eso da igual la dirección que pongamos, como “C:\$MFT\prueba”.

Cómo es el nuevo bug que bloquea Windows

Cuando el navegador intente acceder a esa imagen, el driver NTFS bloqueará automáticamente el acceso; eso resulta ser su perdición, ya que a partir de entonces todos los intentos del sistema de acceder a $MFT serán infructuosos.

Eso resulta en un bloqueo inmediato del sistema, ya que no puede acceder a los metadatos de la unidad. La reacción puede variar dependiendo de lo que estemos haciendo; puede quedarse bloqueado sin responder a nada que hagamos, o bien puede mostrar un pantallazo azul. No, no nos hemos deshecho aún de los pantallazos azules.

boton-encendido

Afortunadamente, los daños no son mayores que eso. Así que se soluciona tan fácilmente como reiniciando el ordenador a la fuerza; cuando arranquemos otra vez, debería estar bien.

Claro, que al hacer eso perderemos el trabajo que no hayamos guardado, pero esa es la mayor consecuencia de este ataque. En ordenadores que tengan que estar constantemente encendidos (como servidores o estaciones de trabajo) el ataque será más dañino.

Un ataque que parece salido de los 90

Como apuntan en Ars Technica, este ataque recuerda mucho a los de la década de los 90; por aquel entonces los ingenieros de Microsoft no pudieron prever que tantísimos hackers se aprovechasen de la manera en la que Windows funciona.

pantallazo azul

El ejemplo más famoso es el de “C:\con\con”. “con” es un tipo de archivo especial usado para gestionar la interfaz del sistema (la pantalla y el teclado). Si un navegador intentaba cargar una imagen con esa dirección, el sistema se bloqueaba.

Es curioso que, aunque las cosas hayan cambiado tanto, algunos trucos para hackear sistemas modernos sigan siendo tan similares a los de entonces.

Microsoft ya ha sido informada de este bug; hasta que salga un nuevo parche, deberías tener especial cuidado con las webs que visitas.