TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 / 攻撃組織 に関する「個人」の調査・研究のログ

トップ > OS: Windows 11 > Windows 11で発覚:WerFaultSecure.exeを悪用したLSASSパスワード窃取手口が深刻化

Windows 11で発覚:WerFaultSecure.exeを悪用したLSASSパスワード窃取手口が深刻化

OS: Windows 11 WerFaultSecure.exe LSASS 攻撃手法: パスワード窃取

【要点】

◎旧WerFaultSecure.exe悪用でLSASSから認証情報窃取可能に。PPL防御を回避、Microsoft未修正。監視と実行制限が必須。


【要約】

セキュリティ研究チームZero Salariumは、Windows 11で古い「WerFaultSecure.exe」を悪用し、PPL保護を迂回してLSASSから平文パスワードやNTLMハッシュを窃取できる手法を発見した。Windows 8.1版のWerFaultSecure.exeが暗号化なしでダンプを生成する欠陥を突くもので、PNG偽装による検知回避も可能。Microsoftは未修正。対策として、System32外のWerFaultSecure.exe検出、PPL起動監視、AppLocker / WDACによる旧バイナリ制限、最小権限運用が推奨される。


【ブログ】

◆Windows 11で発覚:WerFaultSecure.exeを悪用したLSASSパスワード窃取手口が深刻化 (エラー大全集, 2025/09/25)
https://error-daizenn.hatenablog.com/entry/2025/09/25/145348

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2023