9 月 27 日消息,科技媒體 BornCity 昨日(9 月 26 日)發布博文,報道稱 Windows 11 24H2 系統中存在高危漏洞�����,微軟回應稱���,使用 Microsoft Defender 的用戶可有效防御此類攻擊���。ri928資訊網——每日最新資訊28at.com
援引博文介紹����,該漏洞由安全研究機構 Zero Solarium 披露,源于對 Windows 錯誤報告程序 WerFaultSecure.exe 的濫用。攻擊者能夠利用此程序的特殊權限�,發起兩種截然不同的攻擊�,對系統安全構成嚴重威脅�����。ri928資訊網——每日最新資訊28at.com
其中一種攻擊可以讓終端安全防護軟件陷入癱瘓�����,而另一種則能直接竊取存儲在系統內存中的用戶敏感數據。ri928資訊網——每日最新資訊28at.com
第一種攻擊方式被稱為“EDR 凍結”�����。研究人員發現�����,WerFaultSecure.exe 能夠以“受保護進程輕量版”(PPL)的最高權限(WinTCB 級別)運行���。ri928資訊網——每日最新資訊28at.com
ri928資訊網——每日最新資訊28at.com
利用這一特性,攻擊者可強制卡死其他受 PPL 保護的進程���,例如主流的 EDR 和殺毒軟件?��;诖嗽恚摍C構開發名為 EDR-Freeze 的工具�,它能在用戶模式下運行���,無需安裝驅動程序���,即可將安全軟件的進程暫停 1-3 秒���。如果通過腳本持續調用�����,這種攻擊便能長時間使系統防護失效�,為后續惡意活動敞開大門�����。ri928資訊網——每日最新資訊28at.com
第二種攻擊則更為直接�,旨在竊取 LSASS 進程中緩存的密碼�����。由于新版 Windows 會對本地安全機構子系統服務(LSASS�����,負責管理用戶登錄、密碼變更等安全策略)內存轉儲進行加密。ri928資訊網——每日最新資訊28at.com
ri928資訊網——每日最新資訊28at.com
攻擊者采用了一種“以舊換新”的巧妙手法,將一個來自 Windows 8.1、存在漏洞且有微軟有效簽名的舊版 WerFaultSecure.exe 文件復制到目標 Windows 11 系統中�。ri928資訊網——每日最新資訊28at.com
這個舊版本程序在生成崩潰轉儲文件時不會進行加密。攻擊者隨后調用這個舊文件�����,便能生成一份未加密的 LSASS 內存轉儲文件����,并可利用 Mimikatz 等工具從中提取明文密碼。ri928資訊網——每日最新資訊28at.com
針對這些潛在威脅��,微軟官方已做出回應���。一位發言人表示���,Microsoft Defender 會檢測并阻止此類攻擊嘗試����,其客戶不會受到 EDR-Freeze 工具的影響。ri928資訊網——每日最新資訊28at.com
同時�,安全社區也提出了其他防御建議���,例如通過 AppLocker 等策略����,限制 WerFaultSecure.exe 只能從受信任的系統目錄中執行�����,從而阻止攻擊者使用自定義或舊版本的文件發起攻擊���,提升系統整體的安全性��。ri928資訊網——每日最新資訊28at.com
本文鏈接:http://m.www897cc.com/showinfo-119-184868-0.html微軟 Win11 24H2 曝出高危漏洞:可竊取敏感數據�、讓殺軟癱瘓
聲明:本網頁內容旨在傳播知識,若有侵權等問題請及時與本網聯系,我們將在第一時間刪除處理。郵件:2376512515@qq.com
上一篇: 微軟公布 Win10 WHCP 與 HLK 廢止計劃,建議廠商遷移至受支持版本
下一篇: 金山辦公宣布 12 月底發布驍龍 X 系列平臺適配版 WPS Office
標簽:
津公網安備 12010102000574號