Windows Web Threat Defense 用户服务信息泄露漏洞

此信息泄露漏洞允许攻击者通过利用服务中的缺陷，访问未经授权的数据。攻击者可能能够提取配置信息、内部状态数据或其他敏感内容。虽然漏洞描述中未明确指出攻击者可以执行哪些具体操作，但潜在影响包括未经授权的系统访问、数据泄露以及可能的进一步攻击。攻击者可能利用泄露的信息来识别其他漏洞或进行横向移动，扩大攻击范围。由于该漏洞涉及信息泄露，因此可能违反数据隐私法规，并对组织声誉造成损害。

Organizations utilizing the Windows Web Threat Defense User Service, particularly those with legacy Windows 10 deployments or those who have not consistently applied security updates, are at increased risk. Systems with weak network segmentation or inadequate monitoring capabilities are also more vulnerable.

• windows / supply-chain:

Get-WinEvent -LogName Application -FilterXPath "*[System[Provider[@Name='Microsoft-Windows-WebThreatDefenseUserService']]]" | Where-Object {$_.Level -eq 2}

• windows / supply-chain:

Get-Process -Name WebThreatDefenseUserSvc -ErrorAction SilentlyContinue

• windows / supply-chain:

Get-ScheduledTask | Where-Object {$_.TaskName -like '*WebThreatDefense*'} | Format-List TaskName, State

1. 2025-01-14Disclosure

   disclosure

1. 已保留2024-12-11
2. 发布日期2025-01-14
3. 修改日期2026-02-13
4. EPSS 更新日期2026-04-02

缓解此漏洞的首要措施是尽快将受影响的 Windows 系统升级至包含修复程序的版本 10.0.26100.2894。在升级期间，建议备份系统，以防出现意外情况。如果升级导致系统不稳定，可以考虑回滚至之前的版本，但应尽快重新安排升级。此外，可以考虑实施网络分段，限制对 Web Threat Defense User Service 的访问，并加强访问控制策略。虽然没有特定的 WAF 或代理规则，但可以监控与该服务的网络流量，以检测异常活动。