IT之家 9 月 27 日消息，科技媒體 BornCity 昨日（9 月 26 日）發(fā)布博文，報(bào)道稱 Windows 11 24H2 系統(tǒng)中存在高危漏洞，微軟回應(yīng)稱，使用 Microsoft Defender 的用戶可有效防御此類攻擊。

IT之家援引博文介紹，該漏洞由安全研究機(jī)構(gòu) Zero Solarium 披露，源于對(duì) Windows 錯(cuò)誤報(bào)告程序 WerFaultSecure.exe 的濫用。攻擊者能夠利用此程序的特殊權(quán)限，發(fā)起兩種截然不同的攻擊，對(duì)系統(tǒng)安全構(gòu)成嚴(yán)重威脅。

其中一種攻擊可以讓終端安全防護(hù)軟件陷入癱瘓，而另一種則能直接竊取存儲(chǔ)在系統(tǒng)內(nèi)存中的用戶敏感數(shù)據(jù)。

第一種攻擊方式被稱為“EDR 凍結(jié)”。研究人員發(fā)現(xiàn)，WerFaultSecure.exe 能夠以“受保護(hù)進(jìn)程輕量版”（PPL）的最高權(quán)限（WinTCB 級(jí)別）運(yùn)行。

利用這一特性，攻擊者可強(qiáng)制卡死其他受 PPL 保護(hù)的進(jìn)程，例如主流的 EDR 和殺毒軟件。基于此原理，該機(jī)構(gòu)開發(fā)名為 EDR-Freeze 的工具，它能在用戶模式下運(yùn)行，無需安裝驅(qū)動(dòng)程序，即可將安全軟件的進(jìn)程暫停 1-3 秒。如果通過腳本持續(xù)調(diào)用，這種攻擊便能長時(shí)間使系統(tǒng)防護(hù)失效，為后續(xù)惡意活動(dòng)敞開大門。

第二種攻擊則更為直接，旨在竊取 LSASS 進(jìn)程中緩存的密碼。由于新版 Windows 會(huì)對(duì)本地安全機(jī)構(gòu)子系統(tǒng)服務(wù)（LSASS，負(fù)責(zé)管理用戶登錄、密碼變更等安全策略）內(nèi)存轉(zhuǎn)儲(chǔ)進(jìn)行加密。

攻擊者采用了一種“以舊換新”的巧妙手法，將一個(gè)來自 Windows 8.1、存在漏洞且有微軟有效簽名的舊版 WerFaultSecure.exe 文件復(fù)制到目標(biāo) Windows 11 系統(tǒng)中。

這個(gè)舊版本程序在生成崩潰轉(zhuǎn)儲(chǔ)文件時(shí)不會(huì)進(jìn)行加密。攻擊者隨后調(diào)用這個(gè)舊文件，便能生成一份未加密的 LSASS 內(nèi)存轉(zhuǎn)儲(chǔ)文件，并可利用 Mimikatz 等工具從中提取明文密碼。

針對(duì)這些潛在威脅，微軟官方已做出回應(yīng)。一位發(fā)言人表示，Microsoft Defender 會(huì)檢測并阻止此類攻擊嘗試，其客戶不會(huì)受到 EDR-Freeze 工具的影響。

同時(shí)，安全社區(qū)也提出了其他防御建議，例如通過 AppLocker 等策略，限制 WerFaultSecure.exe 只能從受信任的系統(tǒng)目錄中執(zhí)行，從而阻止攻擊者使用自定義或舊版本的文件發(fā)起攻擊，提升系統(tǒng)整體的安全性。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。