Новая ошибка в Windows 10 вызывает сбой ПК при попытке доступа к определенному пути

На прошлой неделе мы уже рассказывали об ошибке, которая приводила к повреждению файловой системы NTFS и невозможности запуска Windows.

Новая ошибка вызывает сбой BSOD в системах Windows 10 при попытке перейти в нестандартное расположение.

Доступ к данному пути вызывает BSOD

С октября 2020 года инженер по компьютерной безопасности Йонас Ликкегаард (Jonas Lykkegaard) много раз упоминал в своем твиттере о пути, при доступе к которому через адресную строку Chrome система Windows 10 завершает работу сбоем и показывает экран BSOD.

Когда разработчики напрямую взаимодействуют с устройствами Windows, они могут передавать путь пространства имен устройства Win32 в качестве аргумента различным функциям в Windows. Например, данный метод используется для взаимодействия приложений с физическим диском, минуя файловую систему.

Ликкегаард сообщил, что обнаружил путь пространства имен устройства Win32 для «драйвера мультиплексора консоли», который, по его мнению, используется для «межпроцессного взаимодействия уровня ядра или пользователя». Когда данный путь открывается различными способами даже пользователями с низкими привилегиями происходит сбой Windows 10.

Речь идет о следующем пути:

\.\globalroot\device\condrv\kernelconnect

При подключении к этому устройству разработчики должны передавать расширенный атрибут «attach» для правильной связи с устройством.

Ликкегаард обнаружил, что при попытке доступа к данному пути без указания атрибута происходит исключение, которое вызывает сбой BSOD в Windows 10.

Более того пользователи с низкими уровнем прав могут попытаться подключиться к устройству по этому пути, что фактически позволяет любой программе, выполняемой на компьютере, вызывать сбой Windows 10.

Данная проблема затрагивает Windows 10, версия 1709 (Fall Creators Update) и более новые версии Windows 10.

На прошлой неделе BleepingComputer отправил официальный запрос в Microsoft по поводу ошибки, обнаруженных Йонасом. Официальный представитель Microsoft ответил:

У Microsoft есть обязательства перед клиентами по расследованию выявленных проблем безопасности, и мы предоставим обновления для затронутых устройств в кратчайшие сроки.

Злоумышленники могут использовать ошибку в своих целях

Хотя не было установлено, может ли эта ошибка использоваться для удаленного выполнения кода или повышения привилегий, в ее текущей форме ее можно использовать как атаку отказа в обслуживании (denial of service).

Для подтверждения концепции Ликкегаард создал файл ярлыка Интернет-ресурса (.url) с иконкой, указывающий на путь \.\globalroot\device\condrv\kernelconnect. После загрузки Windows 10 пытается отобразить значок URL-файла и обращается к данному пути, после чего происходит сбой ОС.

Портал BleepingComputer обнаружил множество других способ использования данной ошибки, в том числе метод для автоматического вызова BSOD при входе в Windows.

В реальных условиях эта ошибка может быть использована злоумышленниками, имеющими доступ к сети и желающими скрыть свой след во время атаки.

Если киберпреступники обладают учетными данными администратора, то они могут удаленно выполнить команду, которая обращается к этому пути на всех устройствах Windows 10 в сети, чтобы вызвать сбой всех устройств. Это может задержать расследование или помешать специалистам обнаружить атаку на конкретный компьютер.

В 2017 году аналогичный сценарий атаки был использован злоумышленниками во время ограбления Дальневосточного международного банка (FEIB) на Тайване. В ходе этой атаки злоумышленники развернули в сети программу-вымогатель Hermes, чтобы отложить расследование инцидента.