Microsoft je v otázkách hesel chytřejší

Pokud běžíte Windows 11 nebo nejnovější verzi systému Windows Server, antivirus Microsoft Defender, který je součástí operačního systému, nyní může zabránit krádeži vašich hesel.

Nová funkce byla zavedena prostřednictvím pravidla Antimalware Scan Interface (ASR), což je sada pravidel používaných programem Microsoft Defender ke kontrole souborů a blokování malwaru.

Pravidlo využívá strojové učení k identifikaci škodlivých procesů, které nepotřebují přístup k funkcím LSA ve Windows, ale přesto se k nim pokoušejí.

Jak funguje LSASS

Služba subsystému místního bezpečnostního úřadu (LSASS) je proces ve Windows, který zpracovává přihlášení a další úkoly související se zabezpečením, takže jakmile má malware přístup k funkcím LSA, může krást přihlašovací údaje z paměti nebo jiných metody z

Funkce zabezpečení systému Windows.

Credential Guard společnosti Microsoft ověřuje uživatele přihlašující se k počítači a chrání systém pomocí komponenty Defender. Problém je v tom, že ne všechna prostředí budou mít zapnutou ochranu Credential Guard, protože není kompatibilní se všemi programy.

Soubor výpisu paměti, který se vytvoří, když útočník prolomí počítač uživatele, může obsahovat heslo a uživatelské jméno uživatele. Tento pilník je možný s použitím Mimikatz, speciálního nástroje určeného pro tento účel.

Útočníci mohou pomocí legitimního procesu, který existuje v operačním systému, získat úplný přístup k systému a přenášet výpisy paměti obsahující pověření do vzdálených umístění.

Defender nebude tuto akci blokovat, protože proces je legitimní a akce není škodlivá. Defender pouze detekuje škodlivé použití procesů a nemůže zabránit jejich vytvoření nebo přenosu.

Aktualizace programu Microsoft Defender

Microsoft vyřešil tento bezpečnostní problém zavedením nového bezpečnostního pravidla tzv Redukce útočné plochy (ASR).

Toto pravidlo zabrání programům otevřít LSASS a naopak jim také zabrání ve vytváření výpisu paměti. Zablokuje přístup k LSASS, i když se program se zvýšenými právy pokusí otevřít proces.

Protože LSASS mohou otevřít pouze programy s oprávněními správce, tento blok jim také brání v přístupu k dalším chráněným procesům, které mohou v počítači běžet.

Pravidlo také blokuje samotný chráněný proces před otevřením vlastního obrazu, což znemožňuje zachytit nebo upravit data v chráněné paměti.

Toto výchozí nastavení způsobí, že toto pravidlo ASR bude povoleno, zatímco všechna ostatní pravidla s ním související zůstanou ve výchozím stavu.

Výhody a nevýhody

Microsoft Defender používá detekční systém, který detekuje známý i neznámý malware, ale není spolehlivý. Autoři malwaru neustále hledají nové způsoby, jak chránit svůj malware před odhalením.

Pokud však v počítači používáte antivirový software třetí strany, pravidlo ASR není k dispozici. Absence pravidla ASR umožňuje hackerům obejít omezení programu Microsoft Defender i jeho cesty vyloučení.

Počet Výzkumníci zabezpečení Windows již obešli pravidlo ASR pro Defender a využili jeho vyloučení k získání přístupu k souboru Lsass.exe.

Zpráva uvádí, že protože Defender již má zavedeno několik výjimek – například umožňuje určitou správu uživatelé žádat a odpovídat na požadavky ASR – to hackerům umožňuje využívat tato pravidla, zatímco objevují nové způsoby, jak cílit počítače.

To znamená, že pouze uživatelé ve verzích Enterprise a Pro Windows 11 budou chráněni vylepšeným pravidlem ASR.

Nové pravidlo ASR však bezpečnostní výzkumníci uvítali. Díky tomu je systém Windows o něco bezpečnější, čím méně ukradených hesel bude, tím lépe, protože z toho budou mít prospěch všichni.

Nejnovější verze Microsoft Defender, známý jako Microsoft Defender Preview, nabízí řídicí panel, kde můžete spravovat zabezpečení svých zařízení.

Je podle vás nový upgrade obránce Microsoftu slibný z hlediska zabezpečení Windows? Sdělte nám své myšlenky v sekci komentářů níže.