Win11惊爆致命漏洞！杀软3秒被冻僵，密码躺着被盗？微软连夜回应

排行榜 2025年10月03日 23:41 0 admin

你的电脑安全软件可能正在“装睡”。9月26日，安全机构Zero Solarium曝出Windows 11 24H2系统两个致命漏洞：一个能让杀毒软件、EDR等防护工具瞬间瘫痪1-3秒，持续攻击甚至能让系统“裸奔”；另一个更狠，用个8年前的旧文件就能扒光你电脑里的密码。微软紧急回应：用Defender的用户别怕。但这漏洞到底多危险？普通用户该怎么防？

一、漏洞曝光：两个“狠招”撕开Win11防线

这次Zero Solarium披露的漏洞，盯上的是Windows系统里一个不起眼的程序——WerFaultSecure.exe。这程序本是“系统医生”，负责在软件崩溃时生成错误报告，没想到却成了攻击者的“万能钥匙”。机构用它开发了两套攻击手法，一套“瘫痪防御”，一套“直接偷密码”，招招戳中系统软肋。

二、第一招：“定身术”冻住安全软件，3秒破防

先说“瘫痪防御”这招，官方名叫“EDR冻结”。原理得从Windows的“权限等级”说起：就像小区安保，普通进程是业主，受保护进程（PPL）是保安，而WinTCB级别是“物业总控室”——权限最高，能指挥所有保安。WerFaultSecure.exe偏偏就能拿到“总控室钥匙”，以WinTCB级别运行。

攻击者发现，这“总控室钥匙”能强制“定住”其他保安。比如你电脑里的杀毒软件、EDR（终端检测响应工具），虽然也是PPL保护进程，但权限比WinTCB低。攻击者写个叫EDR-Freeze的工具，不用装驱动，在用户模式下就能调用WerFaultSecure.exe，把安全软件进程“暂停”1-3秒。

1-3秒很短？但架不住“持续骚扰”。用脚本循环调用，安全软件就像被按了“暂停键”，一直卡着动不了。这时候攻击者再放恶意程序，就像保安被绑住，小偷大摇大摆进门——Zero Solarium测试显示，主流EDR软件无一幸免，包括卡巴斯基、火绒等，全都能被“冻住”。

三、第二招：8年前的“旧文件”，成了密码“提款机”

如果说“瘫痪防御”是“声东击西”，那第二招就是“直捣黄龙”——偷密码。目标是电脑里的“密码保险箱”：LSASS进程。

LSASS全称“本地安全机构子系统服务”，相当于你家的“安全管家”：负责登记谁能进门（用户登录）、保管钥匙（密码缓存）、更新门禁规则（安全策略）。Win11新版为了防偷，给LSASS的“密码本”（内存转储）加了密，就算攻击者拿到转储文件，也解不开。

但攻击者玩了手“以旧换新”：找个2015年Windows 8.1的旧版WerFaultSecure.exe。这旧文件有微软的“正品签名”（数字证书），Win11系统会认；但它有个老毛病——生成错误报告时，不会给LSASS内存转储加密。

攻击者把这旧文件复制到Win11系统，再调用它生成LSASS转储——相当于用一把“过期但没作废的钥匙”打开了新版保险箱，拿到没加密的“密码本”。接着用Mimikatz这类“密码提取器”，就能从转储文件里扒出你的开机密码、WiFi密码，甚至VPN登录密码。

四、微软回应：Defender能防，但其他软件呢？

漏洞曝光后，微软很快回应：“用Microsoft Defender的用户没事，我们能检测并阻止攻击。”这话靠谱吗？

从原理看，Defender作为微软自家软件，可能对WerFaultSecure.exe的“小动作”更敏感。比如EDR-Freeze工具调用高权限进程时，Defender或许能提前拦截；对于旧版文件，Defender的病毒库可能早就标记了“可疑签名文件”。但其他第三方安全软件呢？Zero Solarium测试显示，主流EDR、杀毒软件都会被“冻住”，暂时没看到这些厂商的官方回应——这意味着用非Defender防护的用户，可能还得捏把汗。

五、安全社区支招：给系统“装道防盗门”

光等厂商更新不够，安全社区已经给出“自救指南”。最关键的一招是“锁死文件路径”：用AppLocker等工具设置规则，只允许WerFaultSecure.exe从系统默认目录（比如C:\Windows\System32）执行。

这招原理很简单：就像你家大门只认“从物业领的钥匙”，外面配的“假钥匙”（攻击者放的旧版文件）插进去也拧不动。攻击者就算把旧文件复制到其他文件夹，系统也会因为“路径不对”拒绝运行，自然生成不了未加密的内存转储。

还有个“笨办法”：手动检查系统里的WerFaultSecure.exe版本。右键文件看“属性-详细信息”，如果数字签名显示“Windows 8.1”或版本号低于当前系统，直接删除——别担心删错，系统会自动从官方目录恢复正版文件。

六、漏洞背后：权限太“大方”，签名成“双刃剑”

这漏洞暴露了Windows系统两个老问题：权限管理太“松”，签名机制太“旧”。

先说权限。WinTCB级别本是“最高机密权限”，按理说只能给系统核心进程用。但WerFaultSecure.exe一个“错误报告工具”却能拿到，就像小区把总控室钥匙交给了“修水管的师傅”——师傅靠谱时没事，一旦被坏人冒充，就成了“开门暗号”。未来微软会不会收紧权限？值得关注。

再说签名。微软的数字签名本是“正品保证”，但旧版有漏洞的文件，签名居然还能用在新版系统上。这就像食品厂十年前生产的“过期但没变质”的罐头，虽然包装上的“质检章”没过期，但里面的内容早就不安全了。或许微软该给旧签名加个“有效期”，超过系统版本就自动失效？

七、普通用户怎么办？记住这3步

不用被“PPL权限”“LSASS进程”这些词吓住，普通用户防这漏洞，3步就够：

第一步：查系统版本。按Win+R输“winver”，如果是Windows 11 24H2（版本号26100及以上），赶紧往下看；其他版本暂时不受影响。

第二步：更新防护软件。不管用Defender还是第三方杀软，立刻手动更新病毒库——厂商可能已经推送了针对EDR-Freeze工具的拦截规则。

第三步：限制文件执行。如果你用企业版/专业版Win11，搜“本地安全策略”，找到“应用程序控制策略-AppLocker”，新建“可执行规则”，允许WerFaultSecure.exe只从System32目录运行；家庭版用户可以用PowerShell命令“Get-Item C:\Windows\System32\WerFaultSecure.exe | Select-Object -Property VersionInfo”检查文件版本，异常就删除。