För att förhindra hackare från att stjäla Windows-uppgifterna i LSASS-processen har Microsoft nu aktiverat en säkerhetsfunktion i Microsoft Defender.
Attack Surface Reduction kommer att förhindra även hackare på administratörsnivå från att komma åt LSASS-processen och dumpa referenser. Den här funktionen har funnits i Defender länge men var inaktiv. Och nu är den påslagen när Microsoft prioriterar säkerhet.
Blockerar åtkomst till Windows LSASS
Hackare, som äventyrar ett målsystem, försöker röra sig i sidled genom nätverket för att göra fler maskiner till offer. Och detta sker genom att antingen stjäla referenserna för dessa system eller utnyttja eventuella brister i dem. Och om hackaren väljer den förra, sker det mest genom att dumpa referenser NTLM hash.
NTLM, i gengäld, är en del av LSASS-processen (Local Security Authority Server Service), ett viktigt arbete i Windows. Hackare som försöker stjäla Windows-referenser från LSASS-processen kommer att dumpa dess minne, som innehåller NTLM-hashar av Windows-referenser.
Dessa hash kan vara brutalt tvingade att avslöja klartextlösenorden, vilket låter hackare använda dem för att komma åt de andra systemen. Som ett resultat introducerade Microsoft Credential Guard tidigare, isolering av LSASS-processen i en virtualiserad behållare för att förhindra andra processer från att komma åt den.
Men detta stör ofta drivrutinerna eller applikationerna, orsakar konflikter och tvingar företag att inte använda det. Så Microsoft kom nu med en lösning – aktiverar regeln Microsoft Defender Attack Surface Reduction (ASR) som standard.
Nya förändringar! Vad händer kl #Microsoftvaknade odjuret och ökade säkerheten på prioriteringslistan för den här månaden? ????
ASR-regeln kommer att vara i “konfigurerat” tillstånd som standard för att blockera autentiseringsstöld från LSASS! ????????https://t.co/bQs3RDFRR6 pic.twitter.com/ubFtlsA3jY
— Kostas (@Kostastsale) 9 februari 2022
Som upptäckt av Kostasen säkerhetsforskare i Microsofts ASR-regeldokumentation. Och företaget skrev senare som;
Den här funktionen har länge varit inställd på att inaktiveras i Microsoft Defender, eftersom den kan höja falska flaggor och orsaka tung processkontroll i händelseloggarna. Men eftersom Microsoft prioriterade säkerhet i Windows OS, aktiverade det nu detta som standard.
