科技媒体 borncity 报道，安全机构 SpecterOps 披露，Windows 11 和 Windows Server 2025 的核心安全功能 Credential Guard 存在设计缺陷。该功能通过虚拟化安全（VBS）隔离 LSASS 进程，理论上可阻止凭据转储。然而，SpecterOps 发现攻击者可滥用远程 Credential Guard 功能，通过 NTLMv1 认证质询，迫使 Credential Guard 暴露挑战-响应信息，进而恢复用户的 NT 哈希值。此攻击无需高权限，且在启用 VBS 的系统上依然有效。微软已确认该漏洞，但决定“不予修复”，SpecterOps 因此公开研究成果和 PoC 工具，呼吁关注并采取缓解措施。

🛡️ Credential Guard 设计缺陷：Windows 11 和 Windows Server 2025 的 Credential Guard 功能存在一项设计缺陷，该功能旨在通过虚拟化安全（VBS）隔离 LSASS 进程以防止凭据泄露。

🔓 攻击方式与影响：攻击者能够通过向目标系统发起 NTLMv1 认证质询，迫使 Credential Guard 暴露挑战-响应信息，进而成功恢复用户的 NT 哈希值。这一过程无需管理员权限，且在启用了最高级别防护的系统上依然有效。

❌ 微软的处理态度：SpecterOps 于 2025 年 8 月向微软报告了此漏洞，微软确认了该漏洞的可复现性，但在 2025 年 9 月 24 日将其标记为“不予修复”（Won't Fix）并结案，未计划提供官方补丁。

📢 公开披露与缓解：鉴于微软的决定，SpecterOps 公开了其研究成果和一款名为“DumpGuard”的概念验证工具，旨在提醒系统管理员和安全社区关注此问题，并鼓励他们自行采取缓解措施。

IT之家 10 月 28 日消息，科技媒体 borncity 昨日（10 月 27 日）发布博文，报道称安全研究机构 SpecterOps 披露，Windows 11 及 Windows Server 2025 的核心安全功能 Credential Guard 存在设计缺陷。

IT之家注：Credential Guard 是微软自 Windows 10 起引入的一项关键防御技术。它利用基于虚拟化的安全（VBS）机制，将存储登录凭据的“本地安全机构子系统服务”（LSASS）进程隔离到一个独立的虚拟化容器中。

理论上，即使是拥有最高系统权限的管理员也无法直接访问该容器，从而有效阻止“凭据转储”（Credential Dumping）等常见攻击手段，防止攻击者窃取哈希或密码用于后续的“Pass-the-Hash”攻击。

然而，SpecterOps 的研究团队发现，攻击者可以巧妙地滥用远程 Credential Guard 的一项功能。具体来说，攻击者能够向受害者系统发起 NTLMv1 认证质询，迫使 Credential Guard 暴露出挑战-响应（Challenge-Response）信息。

通过分析这些信息，攻击者便能成功恢复出用户的 NT 哈希值，这是一种可以直接用于身份验证的凭据形式。整个攻击过程无需高权限，且在启用了 VBS 和其他最高级别防护的系统上依然有效。

SpecterOps 于 2025 年 8 月向微软安全响应中心（MSRC）报告了这一发现。微软方面在一个月后确认可以复现该攻击，但最终在 2025 年 9 月 24 日将该漏洞标记为“不予修复”（Won't Fix）并结案。

鉴于微软决定不提供官方补丁，SpecterOps 选择公开发布其研究成果以及一款名为“DumpGuard”的概念验证工具，以敦促系统管理员和安全社区关注并采取相应的缓解措施。