近日，深信服安全性精英团队跟踪一则Windows 10 condrv.sys存有运行内存毁坏漏洞的信息内容，漏洞级别为高风险。该漏洞是因为Windows 10中condrv机器设备有误的设定造成 出现异常。

*** 攻击可运用该漏洞，根据在电脑浏览器的地址栏中开启特殊途径或结构故意快捷方式图标开展中间人攻击，最后造成 Windows 10电脑蓝屏奔溃。

该漏洞当今暂未官方网解决 *** ，深信服EDR轻补丁下载作用之一时间适用免疫系统该漏洞，EDR客户可升級至V3.2.33版本，打开轻补丁下载漏洞免疫功能开展一键防护。

调节查询漏洞局部变量：

从局部变量能够看得出当开启此途径的情况下，进到核心的对象管理工具先后分析对象文件目录，直至分析到\\device\\condrv发觉它是个机器设备对象，且机器设备对象种类是有ParseProcedure *** 的。

故启用机器设备对象的ParseProcedure，即涵数IopPraseDevice。涵数內部在解决完要求时试着去关掉这一文档对象，如下图：

关掉文档对象便会对相对的驱动器推送IRP_MJ_CLEANUP IRP，驱动器为condrv.sys。

电脑蓝屏的根本原因以下：

即从IRP中获得文档对象FILE_OBJECT，随后获得FILE_OBJECT的FCB即FsContext组员。但这时FsContext为NULL，因此就造成 了空指针引入的难题。

我们可以觉得这一文档对象是“不法”的, 那麼很有可能从建立复位的情况下就很有可能发生难题。

对核心有掌握的应当了解，假如要引入机器设备对象那麼必定会对机器设备对象所属的驱动器推送IRP_MJ_CREATE。大家寻找condrv.sys 应用IDA加载，查询反编译以下：

它会循环系统较为文件夹名称是否预订义的好多个，如果是，则启用预订义的建立回调函数，以下：

Poc里边开启的是kernlcontect因此IRP_MJ_CREATE最后会调用函数CdCreateKernelConnection， 查询该涵数以下：

之一个分辨是假如此前方式是usermode则回到0xc000022，即拒绝访问；也就是设计方案之初核心是不允许客户立即应用这一标记连接的。

可是难题出就出在这个立即回到回绝，由于它是在解决IRP。它沒有设定IRP的状态码及其启用IoCompleteRequest完毕IRP。造成 当IRP回到时，其IoStatus.Status为0。（0表明取得成功）

而在涵数IopPraseDevice中是以IoStatus.Status为标准,因此IopPraseDevice 不正确的觉得IoCalldriver是取得成功的，从而引起事后不正确地关掉文档对象进而造成 电脑蓝屏。手动式检测改动IoStatus.Status为不成功值，电脑蓝屏消退。

根据详尽的根因分析能够获得漏洞的诱因，是因为condrv的驱动器开发者在解决IRP *** 的情况下，沒有妥善处理IRP，对不成功状况忘掉设定状态码，进而造成 崩溃。

现阶段受影响的电脑操作系统版本：Windows 10

商品当今官方网尚未公布受影响版本的相匹配补丁下载，提议受影响的客户立即关心升级官方网的安全更新（立即升级升級到全新版本）。连接以下：

现阶段深信服EDR轻补丁下载已适用防护该漏洞，不用重新启动，一键防护：

无需下载补丁下载、重新启动服务项目，全过程汽车轻量化；

自动修复高风险漏洞，无认知迅速修补，确保业务连续性；

适用停更Windows系统软件高风险漏洞、全新0day漏洞防护；

根据运行内存修补，节约特性，管理系统可统一操纵。