Windows10中的一个错误仅通过在浏览器的地址栏中打开特定路径或使用其他Windows命令即可使操作系统崩溃并出现蓝屏死机。上周,BleepingComputer了解到Windows安全研究人员在Twitter上披露的两个漏洞,攻击者可以在各种攻击中利用这些漏洞。第一个错误允许非特权用户或程序输入导致NTFS卷被标记为已损坏的单个命令。虽然chkdsk在许多测试中解决了这个问题,但我们的一项测试表明该命令导致硬盘驱动器损坏,从而阻止Windows启动。今天,我们来看看第二个导致Windows10仅通过尝试打开异常路径而崩溃并出现BSOD的错误。打开此路径会导致BSODWindows安全研究员JonasLykkegaard自10月以来多次发推文称,一条路径会立即导致Windows10崩溃并在进入Chrome地址栏时显示BSOD。当开发人员想要直接与Windows设备交互时,他们可以将Win32设备名称空间路径作为参数传递给各种Windows编程函数。例如,这允许应用程序直接与物理磁盘交互而无需通过文件系统。Lykkegaard告诉BleepingComputer,他发现了以下用于“控制台多路复用器驱动程序”的Win32设备名称空间路径,他认为这是用于“内核/用户模式??ipc”的。当以各种方式打开路径时,即使是低权限用户,Windows10也会崩溃。当.globalrootdevicecondrvkernelconnect连接到此设备时,开发人员应传递“附加”扩展属性以与设备正确通信。CDCreateKernlConnection显示“附加”扩展属性Lykkegaard发现,由于不正确的错误检查而尝试连接到路径而不传递属性会导致异常,从而导致Windows10蓝屏死机(BSOD)崩溃。更糟糕的是,低-特权Windows用户可以尝试使用此路径连接到设备,从而使计算机上执行的任何程序都容易导致Windows10崩溃。在我们的测试中,我们已确认此错误存在于Windows10版本1709及更高版本中。BleepingComputer无法在早期版本中对其进行测试。BleepingComputer上周联系了微软,询问他们是否知道这个错误以及是否会修复它。微软发言人告诉BleepingComputer:“微软致力于调查报告的安全问题的客户,我们将尽快为受影响的设备提供更新。”威胁行为者可以滥用该漏洞,但尚不确定此漏洞是否可用于远程代码。执行或提升权限,但它仍然可以用作对计算机的拒绝服务攻击。Lykkegaard与BleepingComputer共享了一个WindowsURL文件(.url),它被设置为指向。globalroot设备condrvkernelconnect。下载文件后,Windows10会尝试从有问题的路径呈现URL文件的图标并自动使Windows10崩溃。BSOD由访问。globalrootdevicecondrvkernelconnectcausedBleepingComputer已经发现了许多其他方法来利用此错误,包括在Windows登录时自动导致BSOD的方法。在现实生活中,此漏洞可能会被有权访问网络并希望在攻击期间掩盖其踪迹的威胁行为者滥用。如果他们有管理员凭据,他们可以远程执行访问网络上所有Windows10设备上此路径的命令,从而使它们崩溃。对网络造成的破坏可能会延迟调查或阻止管理控制检测到对特定计算机的攻击。
