国际刑警组织宣布在拉各斯逮捕了三名尼日利亚男子，他们涉嫌使用远程访问木马 (RAT) 重新路由金融交易并窃取账户凭证。

此次国际行动代号为“杀人蜂”，由国际刑警组织牵头，东南亚11国执法机构协助。

根据今天发布的一份报告，该团伙的目标包括中东、北非和东南亚的大型企业组织和油气公司。

然而，国际刑警组织没有透露该团伙能够从受害组织那里窃取多少钱。

三名被捕男子中的一名，Hendrix Omorume，因持有欺诈性文件、以虚假手段获取金钱和从事冒充行为而面临一年监禁。

另外两名仍在受审的男子仅面临一项拥有可能用于 BEC（商业电子邮件泄露）攻击的欺诈性文件的指控。

“这三名男子，年龄在 31 至 38 岁之间，均因持有伪造文件而被捕，包括伪造发票和伪造公函，”该公告称。

三名被捕男子 （国际刑警组织）
上周，国际刑警组织宣布 在另一个代号为“Delilah”的行动中逮捕了据称是 SilverTerrier BEC 团伙的头目。

使用特工特斯拉
国际刑警组织表示，对被捕人员的笔记本电脑和手机进行了彻底检查，警方发现了特斯拉特工部署的迹象。

Agent Tesla 是一种已经存在多年的 RAT，它作为强大的信息窃取器和键盘记录器，可以窃取存储在 Web 浏览器、电子邮件客户端、FTP 和其他软件中的凭据。

通常，它通过带有恶意附件（最近是PowerPoint 文档）的恶意网络钓鱼电子邮件感染目标。

在这种情况下，据信 Omorume 使用 Agent Tesla 窃取目标组织的帐户凭据、访问电子邮件通信并进行监视。

这是为成功的 BEC 攻击奠定基础所必需的，因为恶意行为者知道何时进行攻击以及向受害者提供哪些令人信服的细节。

还值得注意的是，Agent Tesla 目前正在广泛部署，最近 ASEC 的恶意软件检测报告将该恶意软件置于列表的顶部，高于 Formbook、RedLine、Lokibot、Wakbot 和 AveMaria。

周一，意大利的计算机安全事件响应小组 (CSIRT) 发布了紧急警报，以提高人们对网络攻击对国家实体的高风险的认识。

意大利组织所指的网络攻击类型是 DDoS（分布式拒绝服务），它可能不是灾难性的，但仍可能由于服务中断和中断而造成财务或其他方面的损害。

公众警报解释说：“继续有迹象和威胁可能对国家公共实体、提供公共事业服务的私人实体或形象被认定为意大利国家的私人实体进行迫在眉睫的攻击。 ”

这些迹象是来自 Killnet 集团 Telegram 频道的帖子，这些帖子煽动了对意大利的“大规模和前所未有的”攻击。

Killnet 是一个亲俄罗斯的黑客组织，两周前攻击了意大利，使用了一种古老但仍然有效的 DDoS 方法，称为“慢速 HTTP”。

因此，这次 CSIRT 提出的防御措施与此类攻击相关，但也包括关于良好安全实践的各种通用建议。

圆形监狱行动
Killnet 上周二宣布了“全景监狱行动”，号召 3000 名“网络战士”在 72 小时内志愿服务。该组织上周多次呼吁采取行动。

在 Telegram 上宣布操作
相关注册表单向志愿者询问他们的系统、来源、年龄和 Telegram 帐户，并提供发起资源耗尽攻击所需的工具。

虽然 DDoS 似乎是主要目标，但 Killnet 可能计划使用 DDoS 来迫使防御者处理服务中断，而不是修复活跃的网络攻击。

今天，Killnet 对 Panopticon 这个词进行了词源解释，对数据泄露进行了暗示，并警告该国 90% 的官员“会发疯”。

意大利当局的一个谜
使用机器翻译，上面的文字如下：

黑客争执
Killnet 针对意大利组织是该组织最近针对包括意大利在内的几个国家的实体的结果，以支持乌克兰对俄罗斯的抵抗。

这引发了 Anonymous Italy 的行动，他们开始攻击 Killnet，并通过在社交媒体上发布照片来攻击其一些成员。结果，Killnet 反击

在撰写本文时，CSIRT Italy 的网站间歇性不可用，但没有发现长时间的连接问题。

还有报道称，意大利的国家邮政服务提供商 Poste Italiane 今天早上遭遇了数小时的停电。

Poste Italiane 网站（停机检测器）报告了中断
然而，该机构告诉 la Repubblica，这次中断不是由 Killnet 攻击引起的，而是由于软件升级没有按计划进行。

其他密切关注意大利网站状态的当地媒体报道称，国家警察和意大利外交部和国防部的在线门户网站今天似乎也反应迟钝。

ZZQIDC可以确认，在撰写本文时，这两个部门的网站似乎受到了 DDoS 攻击的影响。

沃达丰正在试行一个名为 TrustPid 的新广告 ID 系统，该系统将作为移动互联网服务提供商 (ISP) 级别的持久用户跟踪器。

新系统在德国处于测试阶段，旨在无法通过网络浏览器设置或通过 cookie 阻止或 IP 地址屏蔽绕过。

移动运营商计划为每个客户分配一个固定 ID，并将所有用户活动与其关联。该 ID 将基于多个参数，以便系统能够保持持久性。

然后，移动 ISP 会根据该 ID 创建个人资料，并帮助广告商在不透露任何身份信息的情况下向每位客户投放有针对性的广告。

保持互联网“免费”
根据沃达丰的说法，其互联网用户面临的问题是互联网的“免费”部分受到更严格的 cookie 阻止和隐私增强计划的威胁。

苹果已经在所有地方阻止了默认跟踪，这破坏了 Facebook 的商业模式，谷歌也有望在2023 年之前关闭其在 Chrome 中的广告 cookie 。

这些新模式威胁着目标广告行业，据沃达丰称，这种风险正在失去目前由广告支持的内容和平台。

“消费者欣赏‘免费’互联网的想法，但这需要权衡：出版商需要一种可持续的收入模式，这意味着增加订阅付费墙或依靠广告来维持对高质量内容的免费访问变得至关重要”阅读 由 Vodafone Sales and Services Limited 管理的TrustPiD网站上的解释。

该行业正在寻找替代的跟踪方式，而移动 ISP 能够提供用户可能难以规避的解决方案。

对隐私的担忧
沃达丰解释说，TrustPiD 将通过随机性生成，其订阅者可以选择管理他们是否同意通过公司的隐私门户接受跟踪。

有关如何使用收集的信息以及谁将接收信息的完整详细信息，请查看 TristPiD 的隐私政策。

然而，无论那里提出什么声明，让 ISP 有权分配持久跟踪 ID 是令人担忧的，并不是每个人都愿意接受肤浅的保证。

欧洲议会成员和数字权利活动家帕特里克布雷耶告诉 BleepingComputer：

个人的在线活动可以深入了解他们（过去和未来）的行为，并可以对其进行操纵。这些人格档案，甚至包括政治观点、性取向或医疗状况，都对隐私和国家安全构成威胁，官员可能会被勒索，而民主也会受到威胁，选举和公民投票可能会被操纵。一个唯一的 ID 将允许监控我们的整个数字生活。这些方案是完全不能接受的，应该停止试验。民主不是卖的。——帕特里克·布雷耶

尽管有反对意见，沃达丰仍在进行 TrustPiD 系统的有限试验， 据 Spiegel 称，德国电信（T-Mobile 的母公司）也计划测试“超级 cookie”。

目前，双方都没有透露有多少用户参与了 TrustPiD 的试点阶段，但德国最大的网站之一 Bild.de 已经透露它正在参与该计划。

卡巴斯基关于移动恶意软件分发的季度报告指出，从 2020 年底开始出现下降趋势。尽管恶意软件数量总体下降，但该安全公司报告称，包括通用木马、银行木马和间谍软件在内的木马分发量激增。

这一令人担忧的发展突显了人们越来越关注更复杂和更具破坏性的操作，这些操作逐渐取代了低收益的广告软件和“风险工具”。

过去 12 个月的总体恶意软件分布 （卡巴斯基）
就分发量而言，广告软件和“风险工具”仍然是最普遍的，后者几乎占卡巴斯基在 2022 年第一季度检测到的所有移动恶意软件感染尝试的一半。

上一季度分布的恶意软件类型 （卡巴斯基）
崛起的木马
与上一季度相比，手机银行木马的检测量增加了约 40%，与 2021 年第一季度的数据相比，这一数字翻了一番。

卡巴斯基记录的银行木马分布
这种类型的恶意软件通常将登录屏幕覆盖在合法银行或加密货币管理应用程序之上，以窃取人们的帐户凭据。

银行木马在黑客论坛和 Telegram 频道上变得越来越广泛和廉价，因此低技能网络犯罪分子对它们的采用增加了。

据卡巴斯基称，本季度推动分布数字上升的新家族是他们追踪的“Trojan-Banker.AndroidOS.Bray”，占今年第一季度所有移动木马检测的 81%。

突出的 2022 年第一季度威胁
卡巴斯基在今年年初注意到了一些有趣的趋势，其中最引人注目的是通过谷歌 Play 商店等官方应用商店渠道推送的欺诈应用的增加。

2022 年第一季度，诈骗者利用俄罗斯入侵乌克兰的机会，提供虚假的公益应用程序，承诺为应对制裁和交易限制提供经济援助。然而，这些应用程序只是通过将用户引导到外部恶意网站来窃取用户的资金。

前几个月在 Play 商店中发现的欺诈应用程序 （卡巴斯基）
另一个突出的威胁是激进的发薪日贷款申请，主要针对印度、巴西和墨西哥的用户。

卡巴斯基将这些归类为“RiskTool.AndroidOS.SpyLoan”，并表示这些应用程序在安装过程中请求访问用户的联系人列表、短信和照片。如果付款延迟，此信息将用于敲诈勒索。

据报道，在某些情况下，为这些平台工作的收债代理人会从用户的联系人列表中打电话来揭露他们并增加偿还债务的压力。

在其他更极端的情况下，如果这些应用程序的用户错过付款，他们就会被锁定在手机之外，这与勒索软件威胁相呼应。

2022 年第二季度展望
推动上一季度发展趋势的发展和条件保持不变，因此预计木马分发将继续取代标记为广告软件和风险软件的威胁。

移动设备通常是安全链中的一个薄弱环节，它们在企业环境中的存在不断增加。不幸的是，这并不总是通过适当的安全措施来完成。

在实施保护措施、防止权限滥用的机制以及让他们的应用商店更安全方面，谷歌和苹果都取得了长足的进步；但恶意行为者仍然设法攻击用户。

话虽如此，用户应该让他们的设备保持最新状态，安装最少数量的应用程序并且只能从官方商店安装，审查请求的权限，阅读用户评论，查看开发者的网站，并使用移动安全工具。

网络犯罪分子愿意以数千美元的价格出售美国高等教育机构的网络访问凭证。

这种类型的广告出现在公开的网络犯罪在线论坛以及暗网上的市场上。

数以千计的信用出售
联邦调查局 (FBI) 已发布警告，称可在俄罗斯网络犯罪论坛上出售访问美国高校的用户名和密码。

敏感信息包括网络凭据和虚拟专用网络 (VPN) 访问“众多”美国高等教育机构

在某些情况下，卖家发布了一张截图，证明凭证提供了广告中的访问权限。

该机构在本周发布的警报中表示，此类证书的价格从几美元到数千美元不等。

网络犯罪分子有多种收集用户名和密码的方法，其中最常见的是网络钓鱼。从各种在线服务的违规行为中获得的与高等教育机构相关的电子邮件中测试证书也是一种常见的做法。

“针对组织的凭据收集通常是鱼叉式网络钓鱼、勒索软件或其他网络入侵策略的副产品”——联邦调查局

勒索软件团伙经常使用网络访问来访问受害者并进行横向移动活动以破坏有价值的主机并对其进行加密以支付赎金。

凭据被专门窃取敏感信息的行为者多次宣传，并以取决于受害者和访问类型的价格出售。

FBI 指出，去年 5 月，一个可能参与贩运登录凭据的组织发布了 36,000 多个电子邮件和密码组合，这是一个迹象。

安全建议
该机构建议学术实体采用降低妥协风险的缓解策略。在更新可用时应用更新并检查生命周期结束通知位于列表顶部。

实施暴力保护、针对学生和教职员工的培训课程以识别网络钓鱼尝试、使用强、唯一的密码和多因素身份验证是适用于所有组织的常规建议。

FBI 还建议通过限制可以使用帐户的位置并启用本地设备凭据保护机制来减少凭据暴露。

网络分段以及对异常流量的监控可以防止恶意软件传播并检测表示恶意活动的异常情况。

应特别注意通过远程桌面协议 (RDP) 进行的连接，这是黑客的常见目标。

黑客在构建新的恶意软件时，对 Linux 的 Windows 子系统 (WSL) 作为攻击面表现出越来越大的兴趣，更高级的样本适用于间谍活动和下载额外的恶意模块。

正如该功能的名称所暗示的那样，WSL 允许在模拟 Linux 内核的环境中运行本机 Linux 二进制文件以在 Windows 上运行。

最近发现的基于 WSL 的恶意软件样本依赖于开源代码，该代码通过 Telegram 消息服务路由通信，并让威胁者远程访问受感染的系统。

大鼠和贝壳
用于 WSL 的恶意 Linux 二进制文件于一年多前首次被发现，Lumen Technologies 的 Black Lotus 实验室的研究人员于 2021 年 9 月发布了一份 关于这种新型威胁的报告。

从那时起，它们的数量不断增长，尽管基于公开可用的代码，但所有变体的检测率都很低。

Black Lotus Labs 的研究人员本周告诉 BleepingComputer，自去年秋天以来，他们已经跟踪了 100 多个基于 WSL 的恶意软件样本。

研究人员说，有些比其他的更先进，并补充说威胁参与者对他们正在跟踪的恶意软件“表现出持续的兴趣”。

在分析的样本中，其中两个更值得注意，因为它们能够充当远程访问工具 (RAT) 或在受感染主机上建立反向 shell。

这两个样本是 在 3 月份 Black Lotus Labs 报告 警告 WSL 成为各种技术技能水平的对手的首选攻击面之后发现的。

最近的一个示例依赖于基于 Python 的开源工具 RAT-via-Telegram Bot ，该工具允许控制 Telegram，并具有从 Google Chrome 和 Opera 网络浏览器窃取身份验证 cookie、运行命令或下载文件的功能.

Black Lotus Labs 研究人员告诉 BleepingComputer，该恶意软件带有一个实时机器人令牌和聊天 ID，表明一个活跃的命令和控制机制。

此变体中的其他功能包括截屏和获取用户和系统信息（用户名、IP 地址、操作系统版本），这有助于攻击者确定他们可以在下一阶段的攻击中使用哪些恶意软件或实用程序。

研究人员指出，当 Black Lotus Labs 分析样本时，Virus Total 上的 57 个防病毒引擎中只有两个将其标记为恶意。

最近发现的第二个基于 WSL 的恶意软件样本是为了在受感染的机器上设置反向 TCP 外壳与攻击者通信。

查看代码，研究人员注意到它使用了来自亚马逊网络服务的 IP 地址，该地址之前已被多个实体使用。

研究人员观察到这个样本的一个特殊之处是它显示了一条土耳其语弹出消息，翻译为：“你搞砸了，你无能为力。”

但是，无论是可能指示土耳其语目标的弹出消息还是代码，都没有提供有关恶意软件作者的线索。

研究人员说，这两种恶意软件都可以用于间谍活动，并且可以下载扩展其功能的文件。

基于 WSL 的恶意软件大行其道
Black Lotus Labs 过去曾警告说，威胁行为者正在更深入地探索 WSL 向量，即使分析的许多样本“由于使用了内部或不可路由的 IP，似乎还没有完全发挥作用”。

尽管如此，恶意软件作者正在取得进展，并且已经创建了适用于 Windows 和 Linux 的变体，可以上传和下载文件，或执行攻击者命令。

与之前基于 WSL 的恶意软件不同，Black Lotus Labs 分析的最新样本“将证明在主动 C2 [命令和控制] 基础设施到位的情况下有效，因为 AV 提供商的检测率很低。”

防御基于 WSL 的威胁的一般建议是密切关注系统活动（例如SysMon）以确定可疑活动并调查命令。

奥地利联邦州 Carinthia 遭到 BlackCat 勒索软件团伙（也称为 ALPHV）的袭击，该团伙要求 500 万美元来解锁加密的计算机系统。

袭击发生在周二，并导致政府服务的运营严重中断，据称数千个工作站已被威胁者锁定。

Carinthia 的网站和电子邮件服务目前处于离线状态，政府无法签发新护照或罚款。

此外，网络攻击还破坏了通过该地区行政办公室进行的 COVID-19 测试处理和接触者追踪。

黑客提出以 500 万美元的价格提供一个有效的解密工具。不过，该州发言人 Gerd Kurath告诉 Euractiv，攻击者的要求不会得到满足。

新闻代表进一步表示，目前没有证据表明 BlackCat 实际上设法从该州的系统中窃取任何数据，并且计划是从可用备份中恢复机器。

Kurath 说，在受影响的 3,000 个系统中，预计第一个系统将在今天再次可用。

在撰写本文时，BlackCat 的数据泄露站点（黑客在该站点发布了从未支付赎金的受害者那里窃取的文件）并未显示来自 Carinthia 的任何数据。这可能表明最近的攻击或与受害者的谈判尚未完成。

ALPHV 网站上公布的最新受害者
ALPHV/黑猫
ALPHV/BlackCat 勒索软件团伙于 2021 年 11 月出现，是更复杂的勒索软件操作之一。他们是去年负责殖民管道攻击的 DarkSide/BlackMatter 帮派的更名。

2022 年初，BlackCat 的附属公司攻击了Moncler时尚集团和Swissport航空公司货运服务提供商等知名实体和品牌。

到本年度第一季度末，FBI 发布通知警告称，BlackCat 已在全球范围内入侵至少 60 个实体，并假设它有望成为最活跃和最危险的勒索软件项目之一。
对 Carinthia 的攻击和巨额赎金要求表明，威胁行为者专注于可以支付大笔资金来解密其系统并避免因长期运营中断而造成额外财务损失的组织。

微软宣布将于 2022 年 6 月下旬在所有现有 Azure Active Directory (Azure AD) 租户上自动启用更严格的安全默认设置，称为“安全默认设置”。

安全默认设置于 2019 年 10 月首次引入，仅适用于新租户，是一组基本安全机制，旨在以最少的努力引入良好的身份安全卫生，即使对于没有 IT 团队的组织也是如此。

两个月后， 也就是 2020 年 1 月，微软宣布已经为 60,000 名新租户启用了安全默认设置。

两年多之后，超过 3000 万个组织现在受到强制执行多因素身份验证 (MFA) 和现代身份验证要求的安全默认设置的保护。

“我们对该计划的成功感到高兴，但 2019 年 10 月之前创建的租户不包括在安全默认值中，并且很容易受到攻击，除非他们明确启用条件访问、身份保护和 MFA 等功能，” 身份安全总监 Alex Weinert说在微软。

“这就是为什么我们如此兴奋地宣布向现有租户推出安全默认设置，针对那些自部署以来未更改任何安全设置的用户。

“完成后，此部署将保护另外 6000 万个帐户（大约是英国的人口！）免受最常见的身份攻击。”

安全默认值以保护用户帐户
部署开始后，全局管理员将收到通知，并且可以启用安全默认设置或暂停执行 14 天，届时它们将自动启用。

在 Azure AD 租户中启用后，用户将需要在 14 天内使用 Microsoft Authenticator 应用程序注册 MFA，同时还要求全球管理员提供电话号码。

提示管理员启用安全默认值 (Microsoft)
新的安全默认设置将通过以下方式帮助保护企业用户帐户免受密码喷洒和网络钓鱼攻击：

要求所有用户和管理员使用 Microsoft Authenticator 应用注册 MFA。
用 MFA 挑战用户，主要是当他们出现在新设备或应用程序上时，但更常见的是用于关键角色和任务。
禁用无法执行 MFA 的旧式身份验证客户端的身份验证。
通过在每次登录时要求额外的身份验证来保护管理员。
不想为其组织启用安全默认值的管理员可以通过 Azure Active Directory 属性 或 Microsoft 365 管理中心禁用它们。

然而，这可能不是一个好主意，因为根据韦纳特的说法，启用安全默认设置的组织“所遭受的危害比整体租户人口少 80%”。

此外，根据 Microsoft 的遥测数据，要求 MFA 在启用时可防止超过 99.9% 的帐户泄露攻击。

威胁分析师披露了影响开放自动化软件 (OAS) 平台的漏洞，导致设备访问、拒绝服务和远程代码执行。

OAS 平台是一种广泛使用的数据连接解决方​​案，它将工业设备（PLC、OPC、Modbus）、SCADA 系统、物联网、网络点、自定义应用程序、自定义 API 和数据库结合在一个整体系统下。

它是一种通用且灵活的硬件和软件连接解决方​​案，可促进来自多个供应商的专有设备和应用程序之间的数据传输，并将它们连接到公司特定的产品、定制软件等。

OAS 平台概述
OAS 被米其林、沃尔沃、英特尔、JBT AeroTech、美国海军、Dart Oil and Gas、通用动力、AES Wind Generation 和其他几个知名工业实体使用。

因此，平台中的漏洞可能会使关键工业部门面临中断和机密信息泄露的风险。

严重缺陷
根据Cisco Talos 的一份报告，OAS 平台版本 16.00.0112 及更低版本容易受到一系列高严重性漏洞的影响，这些漏洞可能会造成破坏性攻击。

从最关键的一组开始，CVE-2022-26833的 CVSS 严重性等级为 9.4（满分 10），涉及 OAS 中未经身份验证的访问和使用 REST API 功能。

攻击者可以通过向易受攻击的端点发送一系列特制的 HTTP 请求来触发对该漏洞的利用。

正如 Cisco 解释的那样，REST API 旨在为“默认”用户提供对配置更改和数据查看的编程访问权限，Talos 研究人员能够通过发送带有空白用户名和密码的请求进行身份验证。

不使用任何凭据进行身份验证
​​​​​​​（思科）
第二个严重漏洞是CVE-2022-26082，评级为 9.1，这是 OAS Engine SecureTransferFiles 模块中的文件写入漏洞。

据思科称，发送到易受攻击的端点的一系列特制网络请求可能导致任意远程代码执行。

“通过向 OAS 平台发送一系列格式正确的配置消息，可以将任意文件上传到底层用户允许的任何位置。默认情况下，这些消息可以发送到 TCP/58727，如果成功，将由具有普通用户权限的用户 oasuser 处理。” - 思科塔洛斯

这使远程威胁参与者能够将新的 authorized_keys 文件上传到 oasuser 的 .ssh 目录，从而可以通过 ssh 命令访问系统。

Cisco Talos 发现的其他缺陷均属于高严重性 (CVSS: 7.5)，具体如下：

CVE-2022-27169：通过网络请求获取目录列表
CVE-2022-26077：针对帐户凭据的信息泄露
CVE-2022-26026：拒绝服务和数据链接丢失
CVE-2022-26303和CVE-2022-26043：外部配置更改以及新用户和安全组的创建
思科针对上述每个漏洞提供了缓解建议，包括禁用服务和关闭通信端口，因此如果无法升级到更新版本的 OAS，可能会有一个解决方案具有一些功能或便利性权衡。

否则，建议升级到更新版本的 OAS 平台。上述两个严重漏洞的安全修复程序已在 2022 年 5 月 22 日作为安全更新发布的版本 16.00.0.113 中发布。

在运行错综复杂的数据连接系统的工业环境中，升级滞后是可以预料的，但在这种情况下，由于所披露缺陷的严重性，立即采取行动至关重要。

本周的 Windows 可选累积更新预览引入了与趋势科技的一些安全产品的兼容性问题，破坏了它们的一些功能，包括勒索软件保护功能。

“几个趋势科技端点和服务器保护产品使用的 UMH 组件负责一些高级功能，例如勒索软件保护，”防病毒供应商透露。

“趋势科技意识到一个潜在问题，即应用可选 Microsoft Windows 11 或 Windows 2022 可选预览补丁 (KB5014019) 并重新启动的客户会发现趋势科技 UMH 驱动程序将停止。”

已知问题影响多个趋势科技端点解决方案使用的用户模式挂钩 (UMH) 组件，包括 Apex One 2019、企业安全无忧高级版 10.0、Apex One 即服务 2019、Deep Security 20.0、Deep Security 12.0 和 Worry - 免费的企业安全服务 6.7。

作为 2022 年 6 月补丁星期二的一部分，这家日本网络安全公司现在正在努力解决这个问题，然后再将更新预览推送给所有 Windows 客户。

如何恢复趋势科技端点解决方案功能
幸运的是，与常规的 Patch Tuesday Windows 更新不同，本周的预览更新是可选的，并且在正式发布之前发布它们是为了测试错误修复和性能改进。

Windows 用户必须从“设置”>“Windows 更新”手动检查它们。在您单击“立即下载”按钮之前，它们不会被安装，从而限制了可能受影响的用户数量。

受影响的 Windows 平台包括客户端和服务器版本，在运行 Windows 11、Windows 10 版本 1809 和 Windows Server 2022 的系统上遇到问题。

已安装可选 Windows 可选补丁的趋势科技客户可以临时卸载补丁或联系支持人员以获取应该恢复其安全解决方案功能的 UMH 调试模块。

Windows 用户可以使用提升命令提示符中的以下命令删除预览更新。

Windows 10 1809: wusa /uninstall /kb:5014022
Windows 11: wusa /uninstall /kb:5014019
Windows Server 2022: wusa /uninstall /kb:5014021