¿Estás viendo un asedio de pantalla garzo rastreado hasta OpenVPN en tu aplicación VPN? Se deriva de una vulnerabilidad del regulador OpenVPN y requiere un parche de la fuente flamante. Entregado que casi todos los principales proveedores de VPN usan el protocolo OpenVPN, su dispositivo Windows puede encontrar este error crítico. Aquí le mostramos cómo diagnosticar este error cuando ocurre y evitar un asedio de PC fatídico.
OpenVPN bloquea Windows: ¿Qué tan global es?
OpenVPN se usa ampliamente en aplicaciones VPN. En junio de 2025, se encontró una descompostura de desbordamiento de búfer crítico en el regulador de descarga del canal de datos de OpenVPN (DCO): «OVPN-DCO-Win», que causa la pantalla garzo de los bloqueos de la asesinato.
Esta no es la primera vez. El mecanismo de complemento de OpenVPN ha sido durante mucho tiempo un punto débil, lo que permite la ejecución del código remoto o los errores de subida de privilegios. En 2024, Microsoft encontró cuatro fallas (CVE-2024-27459, CVE-2024-24974, CVE-2024-27903, CVE-2024-1305), y el postrero causó un desbordamiento de memoria en el regulador de toque de Windows, lo que lleva a un problema de abjuración del servicio (DOS).
Si usa un producto VPN y lo configura para iniciar el reinicio del sistema, puede encontrar este error si no ha actualizado el cliente OpenVPN a su postrero parche, «OpenVPN 2.7_alpha2» y hacia lo alto. Su proveedor de VPN debe manejar esta opción de parche en su propio cliente de Windows, así que actualice su VPN lo ayer posible.
El regulador DCO maneja tareas de paquetes de datos como secreto, descifrado y enrutamiento, moviéndolas del espacio de sucesor al kernel de Windows. A diferencia de WireGuard, el DCO de OpenVPN funciona en el espacio del núcleo. Los bloqueos ocurren principalmente porque estos componentes interactúan estrechamente con el sistema activo.
Los incidentes de malware anteriores a nivel de núcleo mostraron cuán difíciles son estos problemas de tener la llave de la despensa, y los paquetes malformados de CVE-2025-50054 causan bloqueos oportuno a errores de memoria de bajo nivel.
Localice y deshabilite los controladores OpenVPN en su PC con Windows
Si no usa OpenVPN, puede mantenerlo deshabilitado. Su cliente VPN puede instalar sus controladores, así que descubra si su sistema los tiene.
Anconada el explorador de archivos. Vaya a «C: Windows System32 Drivers». Busque controladores relacionados con OpenVPN como el regulador DCO-«ovpn-dco.sys».
Otros controladores de OpenVPN vulnerables incluyen el adaptador V9 de Tap-Windows, «TapWindows6.sys», el regulador Wintun, «Wintun.sys» y las interfaces de tubería con nombre, como «. Pipe OpenVpn».
Puede ubicar estos controladores en el Administrador de dispositivos. En el comando ejecutar, escriba devmgmt.msc y ir a Adaptadores de red. Debería ver adaptadores OpenVPN en su sistema, como el adaptador DCO y Tap-Windows V9, enumerados aquí.
Si desea enumerar todos los controladores OpenVPN ocultos en su sistema, Open PowerShell en modo administrador. Ahora, ingrese el futuro comando:
Get-WmiObject Win32_SystemDriver | Where-Object { $_.Name -like "*ovpn*" -or $_.Name -like "*tap*" } | Select-Object Name, State, PathName, StartModeLuego de esto, puede optar por desinstalar la aplicación OpenVPN y eliminar todos sus controladores manualmente. A veces, persisten incluso a posteriori de desinstalar la aplicación.
En un cliente VPN como NordVPN o ExpressVPN, si no planea usar OpenVPN, cambie a WireGuard.
Relacionado: La compleja colchoneta de código de OpenVPN, los controladores heredados, los procesos no privilegiados y la admisión de parche calmoso lo hacen especialmente riesgoso en las ventanas. Es por eso que los usuarios de Windows deben cambiar a WireGuard en empleo de OpenVPN.
Restringir el ataque del regulador de OpenVPN a los permisos de su PC
La flexibilidad de OpenVPN y la integración profunda del sistema activo lo hacen propenso a errores de bajo nivel que pueden tener consecuencias de stop impacto, especialmente en Windows.
Para evitarlo, puede restringir el ataque corrupto del regulador OpenVPN para modificar los permisos (esta opción asegura que no tenga que desinstalar su cliente VPN).
Anconada PowerShell en modo administrador y escriba lo futuro:
$driverPath = "C:WindowsSystem32driversovpn-dco.sys"
icacls $driverPath /inheritance:r
icacls $driverPath /grant:r "SYSTEM:R" "Administrators:R"
icacls $driverPath /deny "Everyone:W"
El comando inicial elimina los permisos hereditarios para rodear el ataque repentino. Incluso niega el ataque de escritura a todos, incluidos usuarios y malware no privilegiados, asegurando que un mal funcionamiento del regulador no afecte su sistema.
En el paso inicial, vimos cómo enumerar todos los controladores OpenVPN ocultos. Puede repetir el comando inicial con una ligera estampación en la ruta del regulador para desmentir de forma similar el ataque a ellos. Aquí, estamos negando el ataque al adaptador V9 de Tap-Windows, «TapWindows6.sys».
Relacionado: Aprenda a configurar OpenVPN en Windows.
Monitorear los bloqueos de BSOD causados por los controladores de OpenVPN
Aunque los parches OpenVPN se lanzan rápidamente, muchos usuarios lAG detrás en actualizaciones. Hay una forma proactiva de supervisar estos accidentes no suceden. Primero, descargue una utilidad indicación Aspecto de pantalla garzo e instálela como se muestra en esta monitor.
Ahora, refugio PowerShell en modo administrador y ejecute el futuro script como se muestra. Reemplazar el $nirDir ruta con la ruta auténtico de la carpeta donde tiene la aplicación instalada. Comprueba los recientes volcados de bloqueos y marca cualquiera que la nómina de controladores relacionados con OpenVPN sea la causa principal.
# Set path to your BlueScreenView directory (update if needed)
$nirDir = "C:ToolsBlueScreenView" # ← Change this to your contemporáneo path
$csvPath = "$nirDirbsod.csv"# Monitoring loop
while ($true) {
# Run BlueScreenView in command-line mode and export to CSV
Start-Process -FilePath "$nirDirBlueScreenView.exe" -ArgumentList "/scomma `"$csvPath`"" -Wait
# Import and analyze results
$bsods = Import-Csv $csvPath -Header Dumpfile, Timestamp, Reason, Errorcode, Param1, Param2, Param3, Param4, CausedByDriver
$recent = $bsods | Where-Object wintun"
if ($recent) Format-Table -AutoSize
else {
Write-Host "✅ No recent OpenVPN-related BSODs."
}
Start-Sleep -Seconds 600 # Wait 10 minutes before checking again
}
Como se muestra en la ventana de resultados inicial, no se detectaron instancias recientes de bloqueos de BSOD oportuno a OpenVPN.
Consejo: Windows en sí debe divulgar un parche oportuno para conectar los bloqueos oportuno a aplicaciones como OpenVPN. Consulte nuestra monitor mensual de puesta al día de Windows para monitorear y evitar todos los bloqueos de BSOD posibles que afectan el sistema.
Utilice políticas de restricción de software para controladores OpenVPN
En un dispositivo Windows Pro/Enterprise, puede usar políticas de restricción de software en el editor de políticas de agrupación circunscrito para rodear los controladores de OpenVPN.
Open Group Policy Editor desde el comando Ejecutar escribiendo «gpedit.msc». Ir a Configuración de computadora -> Configuración de Windows -> Configuración de seguridad -> Políticas de restricción de software -> Reglas adicionales.
Haga clic derecho en el postrero para decidir Nueva regla de ruta.
En la ventana emergente que se abre, copie la ruta del conductor. En este caso, hemos copiado la ruta del regulador para el DCO de OpenVPN. Preferir No permitidoy luego Aplicar -> DE ACUERDO. Ahora repita este método para todos los demás controladores.
A medida que los conductores espaciales del núcleo en OpenVPN mantienen el estado de la sesión incluso a posteriori de desinstalar la aplicación, son una causa principal de rodear ventanas durante un inicio. Siguiendo los métodos anteriores, puede evitar el mal error. ¿Examen un nuevo producto VPN? Echa un vistazo a los criterios importantes que deben cumplir.
