Win11 24H2曝高危漏洞：杀软失效致数据泄露风险

9月27日最新消息，知名科技媒体BornCity于9月26日发布研究报告，曝光了Windows 11 24H2系统存在重大安全漏洞。微软官方随即回应，强调使用Microsoft Defender的用户能够有效抵御此类攻击。

据了解，该漏洞由网络安全研究组织Zero Solarium发现，本质上是对Windows错误报告工具WerFaultSecure.exe的功能滥用问题。研究人员发现，黑客可以利用这个系统组件的特殊权限，实施两种不同类型的攻击行为。

这两种攻击方式都可能造成重大安全隐患：一种能够使终端安全防护产品完全失效，另一种则可以提取系统内存中存储的敏感用户数据。

第一种被命名为"EDR冻结"的攻击手法尤为危险。经研究人员分析，WerFaultSecure.exe运行时可以获得"受保护进程轻量版"(PPL)的最高权限级别(WinTCB级)。

攻击者利用这一特性可以暂停其他受PPL保护的进程，包括市面上主流的EDR防护软件和安全防护产品。基于这一发现，研究团队开发了名为EDR-Freeze的工具。这个工具不需要安装驱动程序就能在用户模式下运行，可以让安全软件的进程暂停1-3秒。通过脚本循环调用的话，攻击者甚至能让系统防护长时间失效。

第二种攻击方式直指系统安全要害，目标是获取LSASS进程中存储的密码信息。在新版Windows系统中，虽然本地安全机构子系统服务(LSASS)的内存转储会经过加密处理。

但攻击者采用了一种"偷梁换柱"的手法：将Windows 8.1时代带有微软数字签名的旧版WerFaultSecure.exe文件复制到受害者的Windows 11系统中。由于这个旧版本在生成崩溃转储时不会执行加密操作，攻击者就能获取未加密的LSASS内存转储文件，进而使用Mimikatz等工具提取其中的明文密码。

对此网络安全威胁，微软公司发言人表示，Microsoft Defender安全产品能够识别并拦截这类攻击行为，使用该产品的用户不必担心EDR-Freeze工具带来的风险。

信息安全专家还给出了额外的防范建议：例如通过AppLocker应用程序控制策略，将WerFaultSecure.exe的可执行范围限制在系统信任目录内，这样就有效阻止了攻击者替换或使用特定版本文件的行为，从而大幅提升系统防护等级。