Jeśli używasz systemu Windows 11 lub najnowszej wersji systemu Windows Server, program antywirusowy Microsoft Defender, który jest częścią systemu operacyjnego, może teraz zapobiec kradzieży haseł.
Nowa funkcja została wprowadzona poprzez regułę interfejsu skanowania antymalware (ASR), która jest zestawem reguł używanych przez Microsoft Defender do skanowania plików i blokowania złośliwego oprogramowania.
Reguła wykorzystuje uczenie maszynowe do wykrywania złośliwych procesów, które nie potrzebują dostępu do funkcji LSA w systemie Windows, ale nadal próbują uzyskać do nich dostęp.
Jak działa LSASS
Usługa podsystemu urzędu zabezpieczeń lokalnych (LSASS) to proces w systemie Windows, który obsługuje logowanie i inne zadania związane z bezpieczeństwem, więc uzyskując dostęp do funkcji LSA, złośliwe oprogramowanie może ukraść dane uwierzytelniające z pamięci lub w inny sposób z funkcji zabezpieczeń systemu Windows .
Credential Guard firmy Microsoft uwierzytelnia logujących się użytkowników, chroniąc system za pomocą komponentu Defender. Problem polega na tym, że nie wszystkie środowiska będą miały włączoną funkcję Credential Guard, ponieważ nie jest ona zgodna ze wszystkimi programami.
Plik zrzutu pamięci generowany, gdy osoba atakująca włamuje się do komputera użytkownika, może zawierać hasło i nazwę użytkownika. Ten plik jest możliwy dzięki użyciu Mimikatz, specjalnego narzędzia zaprojektowanego do tego celu.
Atakujący mogą użyć legalnego procesu istniejącego w systemie operacyjnym, aby uzyskać pełny dostęp do systemu i przenieść zrzuty pamięci zawierające poświadczenia do zdalnych lokalizacji.
Defender nie zablokuje tej akcji, ponieważ proces jest prawidłowy, a akcja nie jest złośliwa. Defender wykrywa jedynie złośliwe użycie procesów i nie może zapobiec ich tworzeniu lub przenoszeniu.
Aktualizacje Microsoft Defender
Firma Microsoft rozwiązała ten problem z zabezpieczeniami, wprowadzając nową regułę zabezpieczeń o nazwie Attack Surface Reduction (ASR).
Ta reguła uniemożliwi programom otwieranie LSASS i z kolei uniemożliwi im tworzenie zrzutu pamięci. Zablokuje dostęp do LSASS, nawet jeśli program z podwyższonym poziomem uprawnień spróbuje otworzyć proces.
Ponieważ tylko programy z prawami administratora mogą otwierać LSASS, ta blokada uniemożliwia im również dostęp do innych chronionych procesów, które mogą być uruchomione na komputerze.
Reguła blokuje również sam chroniony proces przed otwarciem własnego obrazu, uniemożliwiając przechwycenie lub modyfikację danych w chronionej pamięci.
To ustawienie domyślne powoduje włączenie tego ASR, podczas gdy wszystkie inne powiązane z nim reguły pozostają w stanie domyślnym.
Zalety i wady
Microsoft Defender korzysta z systemu wykrywania, który wykrywa zarówno znane, jak i nieznane złośliwe oprogramowanie, ale nie jest niezawodny. Twórcy złośliwego oprogramowania zawsze szukają nowych sposobów ochrony swojego złośliwego oprogramowania przed wykryciem.
Jeśli jednak korzystasz z oprogramowania antywirusowego innej firmy na swoim komputerze, reguła ASR jest niedostępna. Brak reguły ASR pozwala hakerom ominąć ograniczenie Microsoft Defender, a także sposoby na ominięcie go.
Wielu badaczy bezpieczeństwa systemu Windows ominęło już regułę Defender ASR, używając jej ścieżek wykluczeń, aby uzyskać dostęp do pliku Lsass.exe.
Raport wspomina, że ponieważ Defender ma już kilka wyjątków — na przykład pozwala niektórym użytkownikom z uprawnieniami administratora na żądanie i odpowiadanie na żądania ASR — umożliwia hakerom wykorzystanie tych reguł podczas znajdowania nowych sposobów atakowania komputerów.
Oznacza to, że tylko użytkownicy Windows 11 Enterprise i Pro będą chronieni przez ulepszony ASR.
Jednak badacze bezpieczeństwa z zadowoleniem przyjęli nową zasadę ASR. Ponieważ sprawia to, że system Windows jest nieco bezpieczniejszy, im mniej haseł zostanie skradzionych, tym lepiej, ponieważ wszyscy na tym skorzystają.
Najnowsza wersja programu Microsoft Defender , znana jako Microsoft Defender Preview, oferuje pulpit nawigacyjny, za pomocą którego możesz zarządzać bezpieczeństwem swoich urządzeń.
Czy uważasz, że nowa aktualizacja Microsoft Defender obiecuje bezpieczeństwo systemu Windows? Przekaż nam swoje przemyślenia w sekcji komentarzy poniżej.
Dodaj komentarz