Windows关键漏洞

漏洞概述

• 发布背景：由于 Windows 操作系统中发现的关键漏洞数量异常增加，Cyberint 研究团队发布此公告，提醒客户潜在影响。公告将在月底扩展至月度漏洞公告。
• 主要漏洞：
  1. NTFS 损坏漏洞（无 CVE 编号）：通过低权限用户执行 cd 命令到特定路径，可导致 NTFS 分区损坏，迫使系统重启。
  2. 蓝屏死机漏洞（无 CVE 编号）：尝试访问系统路径 \\\\.\\globalroot\\device\\condrv\\kernelconnect 可触发 BSOD，影响 Windows 1709 至 20H2 版本。
  3. CVE-2020-1398：攻击者可物理接触设备，通过 Sticky-Keys 和自动执行外部设备文件，绕过 BitLocker 和锁屏，创建管理员账户。

漏洞详情

NTFS 损坏漏洞

• 影响路径：$bitmap 和 $i30 属性，可能影响 MFT（主文件表），导致数据丢失风险。
• 触发方式：
  • CD 命令：执行 cd 到特定路径（如 \\??\\C:\\$bitmap）。
  • 图标payload：创建快捷方式指向路径，提取 ZIP 文件时触发。
  • HTML payload：静态 HTML 文件或邮件中的 SMB 路径链接。
• 后果：系统重启、启动循环，可能无法恢复数据。

蓝屏死机漏洞

• 影响驱动：condrv.sys（控制台复用驱动）。
• 触发命令：run \\\\.\\globalroot\\device\\condrv\\kernelconnect。
• 后果：系统在 1 分钟内崩溃，显示 condrv.sys 错误。

CVE-2020-1398

• 攻击条件：需物理接触设备。
• 攻击步骤：
  1. 使用 Sticky-Keys 触发 Shift 键 5 次的提示窗口。
  2. 点击“蓝色链接”启用外部设备的自动播放。
  3. 执行恶意 payload，创建管理员账户并绕过 BitLocker。

建议

• 系统补丁：确保及时更新。
• 路径拦截：需谨慎实施，避免副作用。
• 监控错误：
  • NTFS 错误 55。
  • condrv.sys 崩溃。