安全资讯

当试图去访问一个位置时会导致 win10 BSOD

zeronohacker · 1月18日 · 2021年 · 353次已读

Windows 10 bug crashes your PC when you access this location

source: BleepingComputer

Windows 10 中出现一个 Bug,可通过在浏览器的地址栏中输入特定路径打开或使用其他 Windows 命令时,就能让你的操作系统崩溃并蓝屏死机。上周,BleepingComputer 了解到 Windows 安全研究人员在 Twitter 上披露的两个 Bug,攻击者可以在攻击中利用这些 Bug。第一个 Bug 允许无特权的用户或程序运用一个命令,从而导致 NTFS 卷被标记为已损坏。尽管 chkdsk 在许多测试中都解决了此问题,但我们的一项测试表明该命令会导致硬盘驱动器损坏,从而导致 Windows 无法启动。今天,我们来看看第二个 Bug,如何通过打开一条异常路径进而导致 BSOD (Blue screen of death 的缩写,意为蓝屏死机)。

打开路径会导致 BSOD

自从 10 月份以来,Windows 安全研究员 Jonas Lykkegaard 在推特上连续多次发表推文,其中提到了一条路径,在 Chrome 地址栏中输入此路径回车后会立即导致 Windows 10 崩溃并显示 BSOD 信息。当开发人员想要直接与 Windows 设备进行交互时,他们可以将 Win32 设备命名空间路径作为各种 Windows 函数的参数。例如在此例子中允许应用程序直接与物理磁盘进行交互,而无需通过文件系统。

Lykkegaard 告诉 BleepingComputer,他发现了 “console multiplexer driver” 的 Win32 设备名称空间路径,他认为该路径用于 “kernel/usermode ipc”。 当以各种方式打开此路径时,即使来自低特权用户,也会导致 Windows 10 崩溃。

\\.\globalroot\device\condrv\kernelconnect

连接到该设备时,开发人员应传递 “attach” 扩展属性以便与该设备正确通信。

figure 1: CDCreateKernlConnection showing the ‘attach’ extended attribute

Lykkegaard 发现,如果由于不正确的错误检查而尝试不通过属性而连接到路径,则会导致异常,从而导致 Windows 10 BSOD。更糟糕的是,低特权的 Windows 用户可以尝试使用此路径连接到设备,从而使计算机上任何程序执行此操作都很容易导致 Windows 10 崩溃。在我们的测试中,我们已经确认此 Bug 在 Windows 10 1709 版以及更高版本中存在。BleepingComputer 没在早期版本中对其进行测试。BleepingComputer 上周与 Microsoft 联系,以了解他们是否已经知道该 Bug 以及是否会修复该 Bug。微软发言人对 BleepingComputer 表示:“微软对调查已报告的安全问题的客户承诺,我们将尽快为受影响的设备提供更新。”

攻击者可能会利用此 Bug

虽然目前尚不确定此漏洞是否可用于远程执行代码或提升特权,但可以确定的是可将当前这种方式用作对计算机进行拒绝服务攻击。Lykkegaard 与 BleepingComputer 共享了一个 Windows URL 文件,其设置指向 \.\globalroot\device\condrv\kernelconnect。 下载文件后,Windows 10 会尝试从有问题的路径呈现 URL 文件的图标,并自动使 Windows 10 崩溃。

figure 2: BSOD caused by accessing the \\.\globalroot\device\condrv\kernelconnect

此后,BleepingComputer 发现了许多其他利用此 Bug 的方法,包括在 Windows 登录时自动导致 BSOD 的方法。在现实生活中,该漏洞可能会被攻击者利用,他们可以访问网络并希望在攻击过程中掩盖自己的踪迹。如果他们具有管理员凭据,则可以远程执行访问网络上所有 Windows 10 设备上的此路径的命令,以使它们崩溃。在网络上造成的破坏可能会延缓调查或阻止管理控件检测到特定计算机上的攻击。2017 年,在台湾远东国际银行 (FEIB) 就出现类似的攻击场景。在该攻击中,攻击者在网络上部署了 Hermes 勒索软件,以延缓对攻击的调查。

(本文完)

0 条回应

必须 注册 为本站用户, 登录 后才可以发表评论!