跳转到帖子

游客您好,欢迎来到黑客世界论坛!您可以在这里进行注册。

赤队小组-代号1949(原CHT攻防小组)在这个瞬息万变的网络时代,我们保持初心,创造最好的社区来共同交流网络技术。您可以在论坛获取黑客攻防技巧与知识,您也可以加入我们的Telegram交流群 共同实时探讨交流。论坛禁止各种广告,请注册用户查看我们的使用与隐私策略,谢谢您的配合。小组成员可以获取论坛隐藏内容!

TheHackerWorld官方

红色警戒!Windows微信蓝屏文件刨析

HACK1949
HACK1949
问答中心

精选回复

发布于

红色警戒!Windows微信蓝屏文件刨析

600a2ae2ee0c9.png

样本

1611222652_60094e7cd9b971dde0f13.png!sma

中心代码为:file:///globalroot/device/condrv/kernelconnect

受灾画面

1611222689_60094ea13613832cda3cc.png!sma

剖析

1611222721_60094ec1330c4324ee883.png!sma

.url文件

url格局的文件是一种网页文件,只需触摸就会触发拜访

缝隙剖析可见开普勒安全团队此前发的文章《Windows10运用浏览器溃散复现及剖析》,内容如下:

看到微博某位大佬发了一条缝隙

1611222756_60094ee4d5a41aa87b45b.png!sma

复现

咱们直接在浏览器输入这个地址:

\\.\globalroot\device\condrv\kernelconnectbr

1611222798_60094f0eecea14695c93a.png!sma

成功复现,电脑蓝屏:

1611222827_60094f2b852fadccfa794.png!sma

剖析

看报错为:system_service_exception

1611222861_60094f4d098c53d8ba31d.png!sma

造成这个报错的官方反馈是:体系服务过错

在国外Bleepingcomputer论坛,咱们看到一篇这样的文章:

https://www.bleepingcomputer.com/news/security/windows-10-bug-crashes-your-pc-when-you-access-this-location/

1611222908_60094f7c59ea9f92ec572.png!sma

文章指出:

自10月以来,Windows安全研究员 Jonas Lykkegaard 在推特上发表了很多次推文,讲述了一条途径,该途径会当即导致Windows 10溃散并在进入Chrome地址栏中时显示BSOD。

当开发人员想要直接与Windows设备进行交互时,他们能够将Win32设备命名空间途径作为各种Windows编程功能的参数传递。例如,这答应应用程序直接与物理磁盘进行交互,而无需通过文件体系。

Lykkegaard告知BleepingComputer,他发现了“控制台多路复用器驱动程序”的以下Win32设备称号空间途径,他以为该途径用于“内核/用户形式ipc”。当以各种方法翻开途径时,即使来自低特权用户,也会导致Windows 10溃散。

\\.\globalroot\device\condrv\kernelconnect

连接到该设备时,开发人员应传递“ attach”扩展特点以与该设备正确通信。

1611222940_60094f9ce487d1a27127f.jpg!sma

Lykkegaard发现,假如由于不正确的过错检查而测验不通过特点而连接到途径,则会导致反常,从而导致Windows 10中的蓝屏死机(BSOD)溃散。

更糟糕的是,特权低的Windows用户能够测验运用此途径连接到设备,从而使核算机上履行的任何程序都很容易溃散Windows 10。

在咱们的测试中,咱们现已承认此过错在Windows 10 1709版和更高版本中存在。BleepingComputer无法在早期版本中对其进行测试。

BleepingComputer上星期与Microsoft联系,以了解他们是否现已知道该过错以及是否会修复该过错。

微软发言人对BleepingComputer表示:“微软对查询已陈述的安全问题的客户许诺,咱们将尽快为受影响的设备供给更新。”

要挟人员能够乱用该过错

虽然目前尚不确认此缝隙是否可用于长途代码履行或提高特权,但仍能够将其用作核算机上的拒绝服务进犯。

Lykkegaard与BleepingComputer共享了一个Windows URL文件(.url),其设置指向\\.\ globalroot \ device \ condrv \ kernelconnect。下载文件后,Windows 10会测验从有问题的途径中呈现URL文件的图标,并自动使Windows 10溃散。

1611222998_60094fd68fc11e027b874.png!sma

此后,BleepingComputer发现了许多其他利用此bug的办法,包含在Windows登录时自动导致BSOD的办法。

在现实生活中,该缝隙或许会被要挟角色乱用,他们能够拜访网络并期望在进犯过程中掩盖自己的踪迹。

假如他们具有办理员凭据,则能够长途履行拜访网络上所有Windows 10设备上的此途径的命令,以使它们溃散。在网络上造成的破坏或许会延迟查询或阻止办理控件检测到特定核算机上的进犯。

2017年,要挟参与者在台湾远东世界银行(FEIB)掠夺银行时运用了相似的进犯场景。在该进犯中,要挟行为者在网络上部署了爱马仕勒索软件,以延迟对进犯的查询。

防护办法

仅对windows10体系有效,其它体系不受影响

windows微信用户可封闭自动下载

1611223032_60094ff8a3f4a32bd8645.png!sma更多方法(.html   .exe):

1.2.3.4.>5.7.
// BSOD.cpp : 此文件包含 "main" 函数。程序履行将在此处开端并结束。//#include#include int main(){WCHAR fileName[] = L"\\\\.\\globalroot\\device\\condrv\\kernelconnect";WIN32_FILE_ATTRIBUTE_DATA data;GetFileAttributesEx(fileName, GetFileExInfoStandard, &data);}

吾爱破解大牛剖析:

https://www.52pojie.cn/thread-1354077-1-1.html

1611223511_600951d7c1bd37286fd6d.png!sma

其他利用方法XSS缝隙:

请做好个人防护,谨防缝隙要挟。

本文转载自开普勒安全团队

创建帐户或登录后发表意见

转到主题列表

最近浏览 0

  • 没有会员查看此页面。