9月27日最新消息,知名科技媒体BornCity于9月26日发布研究报告,曝光了Windows 11 24H2系统存在重大安全漏洞。微软官方随即回应,强调使用Microsoft Defender的用户能够有效抵御此类攻击。
据了解,该漏洞由网络安全研究组织Zero Solarium发现,本质上是对Windows错误报告工具WerFaultSecure.exe的功能滥用问题。研究人员发现,黑客可以利用这个系统组件的特殊权限,实施两种不同类型的攻击行为。
这两种攻击方式都可能造成重大安全隐患:一种能够使终端安全防护产品完全失效,另一种则可以提取系统内存中存储的敏感用户数据。
第一种被命名为"EDR冻结"的攻击手法尤为危险。经研究人员分析,WerFaultSecure.exe运行时可以获得"受保护进程轻量版"(PPL)的最高权限级别(WinTCB级)。
攻击者利用这一特性可以暂停其他受PPL保护的进程,包括市面上主流的EDR防护软件和安全防护产品。基于这一发现,研究团队开发了名为EDR-Freeze的工具。这个工具不需要安装驱动程序就能在用户模式下运行,可以让安全软件的进程暂停1-3秒。通过脚本循环调用的话,攻击者甚至能让系统防护长时间失效。
第二种攻击方式直指系统安全要害,目标是获取LSASS进程中存储的密码信息。在新版Windows系统中,虽然本地安全机构子系统服务(LSASS)的内存转储会经过加密处理。
但攻击者采用了一种"偷梁换柱"的手法:将Windows 8.1时代带有微软数字签名的旧版WerFaultSecure.exe文件复制到受害者的Windows 11系统中。由于这个旧版本在生成崩溃转储时不会执行加密操作,攻击者就能获取未加密的LSASS内存转储文件,进而使用Mimikatz等工具提取其中的明文密码。
对此网络安全威胁,微软公司发言人表示,Microsoft Defender安全产品能够识别并拦截这类攻击行为,使用该产品的用户不必担心EDR-Freeze工具带来的风险。
信息安全专家还给出了额外的防范建议:例如通过AppLocker应用程序控制策略,将WerFaultSecure.exe的可执行范围限制在系统信任目录内,这样就有效阻止了攻击者替换或使用特定版本文件的行为,从而大幅提升系统防护等级。
