漏洞概述
- 发布背景:由于 Windows 操作系统中发现的关键漏洞数量异常增加,Cyberint 研究团队发布此公告,提醒客户潜在影响。公告将在月底扩展至月度漏洞公告。
- 主要漏洞:
- NTFS 损坏漏洞(无 CVE 编号):通过低权限用户执行
cd 命令到特定路径,可导致 NTFS 分区损坏,迫使系统重启。
- 蓝屏死机漏洞(无 CVE 编号):尝试访问系统路径
\\\\.\\globalroot\\device\\condrv\\kernelconnect 可触发 BSOD,影响 Windows 1709 至 20H2 版本。
- CVE-2020-1398:攻击者可物理接触设备,通过 Sticky-Keys 和自动执行外部设备文件,绕过 BitLocker 和锁屏,创建管理员账户。
漏洞详情
NTFS 损坏漏洞
- 影响路径:
$bitmap 和 $i30 属性,可能影响 MFT(主文件表),导致数据丢失风险。
- 触发方式:
- CD 命令:执行
cd 到特定路径(如 \\??\\C:\\$bitmap)。
- 图标payload:创建快捷方式指向路径,提取 ZIP 文件时触发。
- HTML payload:静态 HTML 文件或邮件中的 SMB 路径链接。
- 后果:系统重启、启动循环,可能无法恢复数据。
蓝屏死机漏洞
- 影响驱动:
condrv.sys(控制台复用驱动)。
- 触发命令:
run \\\\.\\globalroot\\device\\condrv\\kernelconnect。
- 后果:系统在 1 分钟内崩溃,显示
condrv.sys 错误。
CVE-2020-1398
- 攻击条件:需物理接触设备。
- 攻击步骤:
- 使用 Sticky-Keys 触发 Shift 键 5 次的提示窗口。
- 点击“蓝色链接”启用外部设备的自动播放。
- 执行恶意 payload,创建管理员账户并绕过 BitLocker。
建议
- 系统补丁:确保及时更新。
- 路径拦截:需谨慎实施,避免副作用。
- 监控错误:
- NTFS 错误 55。
condrv.sys 崩溃。
