安全应急|小心一个链接让你的系统蓝屏！

近日，锐捷网络CERT安全应急响应团队追踪到一则Windows 10 condrv.sys存在内存损坏漏洞的信息，该漏洞直接导致Win10系统蓝屏。该漏洞是由于Windows 10中condrv驱动设置错误导致的。 当Chrome 或Edge浏览器在打开特定链接时，刚好调用了该驱动的相应函数，而IE没有调用，因此IE不会受影响。另外，攻击者能够直接构造恶意代码直接调用存在漏洞的函数，如果用户点击就会触发漏洞、导致蓝屏。

访问链接\\.\globalroot\device\condrv\kernelconnect会触发蓝屏。

• 用浏览器访问：

file://\\.\globalroot\device\condrv\kernelconnect

• 用一个快捷方式指向：

\\.\globalroot\device\condrv\kernelconnect

• 网页攻击：

例如a标签

<a href="file://\\.\globalroot\device\condrv\kernelconnect"></a>

<script>document.location = '\\\\.\\globalroot\\device\\condrv\\kernelconnect';</script>

以及JavaScript脚本。

•  微信群恶意用户传播名为test.url文件,在微信开启自动下载功能后文件被接收导致电脑即蓝屏

   

1. 访问该文件夹即蓝屏(url文件会自动请求文件图标而加载\\.\gxxx

2. 点击打开即蓝屏,文件内默认URL为\\.\gxxx

3. 电脑微信打开即蓝屏,电脑微信默认使用了微信当前目录下wechatweb.exe文件对Web内容进行加载,而该exe核心则是由QQ浏览器演变而来,而QQ浏览器内核又是采用的chrome内核,所以微信端打开即蓝屏

目前受影响的操作系统版本：Windows 10.1709及以上系统

该漏洞当前暂无官方解决方案。

产品当前官方暂未发布受影响版本的对应补丁，建议受影响的用户及时关注更新官方的安全补丁（及时更新升级到最新版本）。链接如下：

https://www.microsoft.com/zh-cn/software-download/windows10

• 不要打开陌生网页，如果不必要建议禁止JavaScript。

• 不要打开陌生程序，终端安装防护软件。

• 不要随意下载安装来源不明的软件，防止有人恶意利用此漏洞造成拒绝服务攻击。

• 对不明来历的邮件、office等提高警惕。

• 警惕不明来历压缩文件，为了让受害者下载Windows快捷方式(.url)文件。攻击者会通过欺骗用户下载ZIP归档文件，并将恶意字符串隐藏其中；当用户解压ZIP文件时便会触发攻击。

• 及时备份重要文件，以免文件丢失。

锐捷网络CERT安全应急响应团队，跟踪最新互联网威胁事件，针对最新安全漏洞，APT攻击以及僵尸网络家族做实时跟踪和分析;为产品、客户提供实时、有效的安全防护策略与解决方案。