Ashwin 14. februar 2022 Sikkerhet | 1
Microsoft styrker Windows' sikkerhet ved å legge til en svært viktig regel i antivirusprogrammet. En ny ASR-regel blir introdusert for Microsoft Defender.
Før vi går inn i det, la oss snakke om en metode som hackere kan bruke for å stjele en brukers Windows-passord.
Hva er LSASS?
Du har kanskje lagt merke til LSASS.exe i Task Manager, den er relatert til en prosess kalt Local Authority Server Service. LSASS autentiserer brukere som logger på en datamaskin, og er beskyttet av Microsoft Defenders Credential Guard. Problemet med den er at Credential Guard ikke er kompatibel med alle programmer, f.eks. tilpassede smartkortdrivere. Så det er ikke implementert i alle miljøer.
ANNONSE
Når en angriper har brutt en brukers datamaskin, kan de enkelt få tilgang til LSASS-prosessen via spesialverktøy som Mimikatz. Den resulterende filen opprettet av verktøyet, er en minnedump som inneholder passordene og brukernavnene til brukerne som var logget på systemet.
Passordene vises i ren tekst, slik at angriperen kan få full tilgang til operativsystemet. Og alt dette kan gjøres eksternt, og Microsoft Defender vil ikke blokkere tilgangen til det fordi LSASS er en legitim prosess og minnedumpen ikke er skadelig. Den kan bare oppdage programmer som har skadelig tilgang til prosessen, men den kan ikke forhindre at minnedumpen opprettes eller overføres for å stjele brukerens legitimasjon.
Det er ganske skummelt, ikke sant.
p>
Microsoft Defender får en Attack Surface Reduction-regel
Løsningen på dette sikkerhetsproblemet er ganske enkel, beskytt LSASS mot uautorisert tilgang, og hele dette rotet kan unngås, ikke sant? Det er nettopp det Redmond-selskapet gjør, ved å legge til en ny regel kalt Attack Surface Reduction (ASR). Denne regelen vil blokkere programmer fra å åpne LSASS og hindrer dem også i å lage minnedumpen. Den vil blokkere tilgang til LSASS selv om et program som har forhøyede rettigheter, dvs. administratorrettigheter, prøver å åpne prosessen.
ANNONSE
Det blir bedre, ifølge Microsofts dokumentasjon vil denne ASR-regelen være aktivert som standard, mens alle andre regler knyttet til den forblir i standardtilstanden “Ikke konfigurert”.
Er ASR en god løsning? Vel, hvis du er Microsoft Defender, ser dette lovende ut. Det er ikke helt idiotsikkert, men hva er det. Vi må huske at skadelig programvare også utvikler seg og blir kompleks år etter år.
ANNONSE
På den annen side, hvis du bruker et tredjeparts antivirus på datamaskinen din, er ASR-regelen deaktivert . Så det gjør LSASS sårbar igjen. Bleeping Computer rapporterer at ASR-regelen allerede har blitt forbigått av noen sikkerhetsforskere, som utnyttet Microsoft Defenders eksklusjonsveier. Utelukkelsene gjelder alle ASR-regler, og siden denne LSASS-tilgangen faller i samme kategori, gjør den det mulig for hackere å omgå restriksjonene. Rapporten nevner at brukere som kjører på Windows Enterprise, Windows 10 Pro og Windows 11 Pro vil være beskyttet av den nye ASR-regelen.
Når det er sagt, har den nye ASR-regelen blitt ønsket velkommen av sikkerhetsforskere, som den gjør Windows er litt sikrere, og det er alltid velkomment, da det vil resultere i færre stjålne passord.
På en sidenotat er Microsoft Defender Preview et nytt dashbord som lar deg administrere sikkerheten til enhetene dine.
p> ANNONSE