Η Microsoft ενεργοποιεί από προεπιλογή, τη λειτουργία «Attack Surface Reduction» του Microsoft Defender, για να εμποδίσει τις προσπάθειες των χάκερ να κλέψουν διαπιστευτήρια των Windows από τη διαδικασία LSASS.
Δείτε επίσης: Microsoft: Η υποστήριξη για Windows 10 20H2 λήγει τον Μάιο
Όταν οι κακόβουλοι χρήστες παραβιάζουν ένα δίκτυο, προσπαθούν να εξαπλωθούν πλευρικά σε άλλες συσκευές, κλέβοντας διαπιστευτήρια ή χρησιμοποιώντας εκμεταλλεύσεις.
Μία από τις πιο συνηθισμένες μεθόδους για την κλοπή των διαπιστευτηρίων στα Windows, είναι η απόκτηση δικαιωμάτων διαχειριστή σε μια παραβιασμένη συσκευή και στη συνέχεια, η εφαρμογή της πρακτικής dump memory στη διαδικασία Local Security Authority Server Service (LSASS) που εκτελείται στα Windows.
Αυτή η ένδειξη αποθήκευσης μνήμης, περιέχει κατακερματισμούς NTLM των διαπιστευτηρίων των Windows χρηστών που είχαν συνδεθεί στον υπολογιστή, τα οποία μπορούν να χρησιμοποιηθούν για κωδικούς πρόσβασης καθαρού κειμένου ή σε επιθέσεις Pass-the-Hash για σύνδεση σε άλλες συσκευές.
Ενώ το Microsoft Defender αποκλείει κακόβουλα προγράμματα, μια ένδειξη μνήμης LSASS μπορεί να μεταφερθεί σε έναν απομακρυσμένο υπολογιστή για την απόρριψη των διαπιστευτηρίων χωρίς φόβο ότι θα αποκλειστεί.
Δείτε ακόμα: Microsoft: Διορθώνει σφάλμα στο Defender που επιτρέπει παράκαμψη των σαρώσεων για malware
Για να αποτρέψει τους κακόβουλους χρήστες από το να κάνουν κατάχρηση της μνήμης LSASS, η Microsoft έχει εισάγει χαρακτηριστικά ασφαλείας που εμποδίζουν την πρόσβαση στη διαδικασία LSASS.
Ένα από αυτά τα χαρακτηριστικά ασφαλείας είναι το Credential Guard, το οποίο απομονώνει τη διαδικασία LSASS σε ένα εικονικό κοντέινερ που αποτρέπει την πρόσβαση άλλων διεργασιών.
Ωστόσο, αυτή η δυνατότητα μπορεί να οδηγήσει σε διενέξεις με προγράμματα drive ή εφαρμογές, με αποτέλεσμα ορισμένοι οργανισμοί να μην την ενεργοποιήσουν.
Ως τρόπος μετριασμού της κλοπής διαπιστευτηρίων των Windows χωρίς να προκληθούν οι διενέξεις που εισάγει το Credential Guard, η Microsoft θα ενεργοποιήσει σύντομα μία λειτουργία Microsoft Defender Attack Surface Reduction (ASR) από προεπιλογή.
Αυτή η λειτουργία αποτρέπει τις διεργασίες από το άνοιγμα της διαδικασίας LSASS και την απόρριψη της μνήμης του, ακόμα κι αν έχει δικαιώματα διαχειριστή.
Αυτή η νέα αλλαγή ανακαλύφθηκε αυτή την εβδομάδα από τον ερευνητή ασφαλείας Kostas, ο οποίος εντόπισε μια ενημέρωση στην τεκμηρίωση κανόνων ASR της Microsoft.
Δείτε επίσης: Το Microsoft Defender Preview είναι διαθέσιμο για Windows και Android
Καθώς οι κανόνες μείωσης επιφάνειας επίθεσης τείνουν να εισάγουν ψευδώς θετικά στοιχεία και πολύ θόρυβο στα αρχεία καταγραφής συμβάντων, η Microsoft στο παρελθόν δεν είχε ενεργοποιήσει τη δυνατότητα ασφαλείας από προεπιλογή.
Ωστόσο, η εταιρεία άρχισε πρόσφατα να επιλέγει την ασφάλεια σε βάρος της ευκολίας, καταργώντας κοινές λειτουργίες που χρησιμοποιούνται από διαχειριστές και χρήστες Windows που αυξάνουν τις επιφάνειες επιθέσεων.
