Windows 10 错误在您访问此位置时使电脑崩溃
Windows 10 中的 Bug 只需在浏览器的地址栏中打开某个路径或使用其他 Windows 命令,即可导致操作系统崩溃与死亡蓝屏。
上周,BleepingComputer 了解到 Windows 安全研究人员在 Twitter 上披露的两个错误,这些错误可能会在各种攻击中被攻击者滥用。
第一个错误允许非特权用户或程序输入单个命令,导致 NTFS 卷被标记为已损坏。虽然 chkdsk 在许多测试中解决了此问题,但我们的一个测试表明,该命令导致硬盘损坏,导致 Windows 无法启动。
今天,我们来看看第二个错误,它导致 Windows 10 执行 BSOD 崩溃,只是尝试打开一个不寻常的路径。
打开此路径会导致 BSOD
自去年10月以来,Windows安全研究员Jonas Lykkegaard已经多次发布过关于一条路径的微博,该路径将立即导致Windows 10崩溃,并在进入Chrome地址栏时显示BSOD。
当开发人员希望直接与 Windows 设备交互时,他们可以将Win32 设备命名空间路径作为参数传递给各种 Windows 编程功能。例如,这允许应用程序直接与物理磁盘交互,而无需通过文件系统。
Lykkegaard告诉BleepingSpcuter,他为"控制台多路复用器驱动程序"发现了以下的 Win32 设备命名空间路径,他认为该路径用于"内核/用户模式 ipc"。当通过各种方式打开路径时,即使是低特权用户,也会导致 Windows 10 崩溃。
\\.\globalroot\device\condrv\kernelconnect
连接到此设备时,开发人员应传递"附加"扩展属性以与设备进行正确通信。
CDCreateKernlConnect 显示"附加"扩展属性
Lykkegaard 发现,如果您尝试连接到路径而不通过属性由于不正确的错误检查,它将导致异常,导致蓝屏死亡 (BSOD) 崩溃在 Windows 10。
更糟的是,低特权 Windows 用户可以尝试使用此路径连接到设备,使计算机上执行的任何程序都很容易崩溃 Windows 10。
在我们的测试中,我们已确认此 Bug 存在于 Windows 10 版本 1709 及更晚版本上。Bleeping 计算机无法在较早版本中测试它。
BleepingComputer 上周联系了微软,了解他们是否已经知道了错误,以及他们是否会修复错误。
"微软有一个客户承诺,调查报告的安全问题,我们将尽快提供受影响的设备的更新,"微软发言人告诉布莱和平电脑。
威胁参与者可能会滥用 Bug
虽然尚未确定此 Bug 是否可用于远程代码执行或提升特权,但以当前形式,它可用作计算机上的拒绝服务攻击。
Lykkegaard 与 Bleeping 计算机共享 Windows URL 文件 (.url),其设置指向 [.].[全局根]设备{condrv}内核连接。下载文件时,Windows 10 将尝试从有问题的路径呈现 URL 文件的图标,并自动崩溃 Windows 10。
访问 [.].\globalroot\ 设备\ condrv\ 内核连接引起的 BSOD
此后,Bleeping 计算机发现了许多其他方法来利用此 Bug,包括导致 BSED 自动在 Windows 登录时运行的方法。
在真实场景中,此 Bug 可能会被有权访问网络并想要在攻击期间掩盖其踪迹的威胁参与者滥用。
如果他们具有管理员凭据,他们可以远程执行一个命令,该命令在网络上的所有 Windows 10 设备上访问此路径,以导致它们崩溃。对网络造成的破坏可能会延迟调查或阻止管理控制检测到特定计算机的攻击。
2017年,在台湾远东国际银行(FEIB)的一家银行里,威胁行为者也使用了类似的攻击场景。在该攻击中,威胁参与者在网络上部署了爱马仕勒索软件,以推迟对攻击的调查。
相关文章:
Windows 10 更新导致 CorsairVbusDriver Bsod 崩溃循环