最近Win10比较火的一个蓝屏Bug,谷歌浏览器输入(是它内核的 一个都逃不掉!包括 Microsoft Edge)
千万别作死输入!!!
小弟最新版Windows 10 20H2 19042.746 Microsoft Edge(87.0.664.75) 已翻车...
\\.\globalroot\device\condrv\kernelconnect
就会导致电脑输入出现如下图所示蓝屏。好奇心突发,于是尝试用IE浏览器,却不会触发蓝屏。到底为什么呢?开始分析
内核完整转储,然后Windbg分析一下
可以看到在condrv驱动里的派遣函数CdpDispatchCleanup发生了空指针引用,而后触发了蓝屏
查看栈调用,发现谷歌浏览器调用了GetFileAttributesExW函数,然后转入ntdll,接着走进了内核,然后调用了condrv的派遣函数。
将C:\Windows\System32\drivers\condrv.sys拖入IDA,查看函数,经过对应发现是走到如上图所示的代码,触发了蓝屏异常。
接下来是动态调试google浏览器,在KERNELBASE.GetFileAttributesExW下断点。看看传了哪些参数。
由此可以写代码复现了。rcx,rdx,r8三个参数
// BSOD.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。 // #include <iostream> #include <Windows.h> int main() { WCHAR fileName[] = L"\\\\.\\globalroot\\device\\condrv\\kernelconnect"; WIN32_FILE_ATTRIBUTE_DATA data; GetFileAttributesEx(fileName, GetFileExInfoStandard, &data); }
2021-01-20 16:48 1F
登录回复
火绒工程师进行查看验证,发现网传消息并不完整:浏览器不是该漏洞唯一触发方式,通过其他方式访问该路径,也会触发Win10系统BSOD(User权限也会触发)
该漏洞可被黑客用于拒绝服务攻击,如果配合其他漏洞进行传播,则有可能造成更严重的危害。
目前微软还未针对该漏洞发布任何公告和补丁。为了帮助用户避免遭受通过该漏洞的攻击,火绒为用户提供了临时防御热补丁。针对BadCon漏洞相关样本,火绒最新版本更新后即可支持查杀。(企业用户需将文件实时监控-扫描时机调至中级以上并设置为自动处理)
注意:火绒”热补丁”修复,仅作为临时应急缓解方案,虽然经过大量测试,但不能完全排除是否会对您的系统、业务运行带来某些兼容性问题。目前建议仅在以下环境内使用该工具,并等待微软对此漏洞进行修复:
1.Windows 10 1709及以上系统
2.非主要业务、应用服务器
漏洞影响范围:Windows 10 1709及以上系统
下载地址:https://down5.huorong.cn/tools/HRCondrvVulFix.exe
2021-01-20 23:08 2F
登录回复
这波操作眼花缭乱,通过一个小小的蓝屏命令竟然深挖到了操作系统内核函数,太牛太牛!
2021-01-21 10:37 3F
登录回复
很好,很强大!
2021-01-21 14:16 B1
登录回复
@ qq123456 发给我同事让他试了一下,真的一秒蓝屏,幸亏让他提前把东西保存了一下!
2021-01-22 06:32 4F
登录回复
哇,厲害了,真有心,佩服佩服。
2021-01-31 13:22 5F
登录回复
6521653理解能力看见你了