- Microsoft stärkt die Sicherheit von Windows, indem es seinem Antivirenprogramm eine sehr wichtige Regel hinzufügt.
- In Microsoft Defender wird eine neue ASR-Regel eingeführt, die verhindern soll, dass bösartige Apps auf dem PC verwendete Kennwörter extrahieren.
- Die Einführung der neuen ASR-Regel ist Teil der Bemühungen von Microsoft, sein Betriebssystem sicherer zu machen, insbesondere gegen Malware-Angriffe.
Wenn Sie laufen Windows11 oder eine neuere Version von Windows Server, das Antivirenprogramm Microsoft Defender, das Teil des Betriebssystems ist, kann jetzt verhindern, dass Ihre Kennwörter gestohlen werden.
Die neue Funktion wurde über eine ASR-Regel (Antimalware Scan Interface) eingeführt, bei der es sich um eine Reihe von Regeln handelt, die von Microsoft Defender verwendet werden, um Dateien zu scannen und Malware zu blockieren.
Die Regel verwendet maschinelles Lernen, um bösartige Prozesse zu identifizieren, die keinen Zugriff auf die LSA-Funktionen in Windows benötigen, aber trotzdem versuchen, darauf zuzugreifen.
Wie LSASS funktioniert
Der Local Security Authority Subsystem Service (LSASS) ist ein Prozess in Windows, der Anmeldungen und andere verarbeitet sicherheitsrelevante Aufgaben, sodass Malware, sobald sie Zugriff auf LSA-Funktionen hat, Anmeldeinformationen aus dem Speicher oder anderen stehlen kann Methoden aus Windows-Sicherheitsfunktionen.
Credential Guard von Microsoft authentifiziert Benutzer, die sich an einem Computer anmelden, und schützt das System mit seiner Defender-Komponente. Das Problem dabei ist, dass nicht in allen Umgebungen Credential Guard aktiviert ist, da es nicht mit allen Programmen kompatibel ist.
Die Speicherabbilddatei, die erstellt wird, wenn ein Angreifer in den Computer eines Benutzers eingedrungen ist, kann das Kennwort und den Benutzernamen des Benutzers enthalten. Diese Datei wird durch die Verwendung von Mimikatz ermöglicht, einem speziellen Tool, das für diesen Zweck entwickelt wurde.
Angreifer können einen legitimen Prozess verwenden, der auf dem Betriebssystem vorhanden ist, um vollen Zugriff auf das System zu erhalten und Speicherabbilder mit Anmeldeinformationen an entfernte Standorte zu übertragen.
Der Verteidiger wird diese Aktion nicht blockieren, da der Prozess legitim und die Aktion nicht schädlich ist. Defender erkennt nur die böswillige Verwendung von Prozessen und kann deren Erstellung oder Übertragung nicht verhindern.
Updates von Microsoft Defender
Microsoft hat dieses Sicherheitsproblem mit der Einführung einer neuen Sicherheitsregel namens „ Reduzierung der Angriffsfläche (ASR).
Diese Regel verhindert, dass Programme LSASS öffnen, und verhindert wiederum, dass sie das Speicherabbild erstellen. Es blockiert den Zugriff auf LSASS, selbst wenn ein Programm mit erhöhten Rechten versucht, den Prozess zu öffnen.
Da nur Programme mit Administratorrechten LSASS öffnen können, verhindert dieser Block auch, dass sie auf andere geschützte Prozesse zugreifen, die möglicherweise auf dem Computer ausgeführt werden.
Die Regel hindert auch den geschützten Prozess selbst daran, sein eigenes Image zu öffnen, wodurch es unmöglich wird, Daten im geschützten Speicher zu erfassen oder zu ändern.
Diese Standardeinstellung führt dazu, dass diese ASR-Regel aktiviert wird, während alle anderen damit verbundenen Regeln in ihrem Standardzustand bleiben.
Vorteile und Nachteile
Microsoft Defender verwendet ein Erkennungssystem, das sowohl bekannte als auch unbekannte Malware erkennt, aber es ist nicht narrensicher. Malware-Autoren suchen immer nach neuen Wegen, um ihre Malware vor der Entdeckung zu schützen.
Wenn Sie jedoch Antivirensoftware von Drittanbietern auf Ihrem Computer verwenden, ist die ASR-Regel nicht verfügbar. Das Fehlen der ASR-Regel ermöglicht es Hackern, die Einschränkung von Microsoft Defender sowie seine Ausschlusspfade zu umgehen.
Eine Anzahl von Windows-Sicherheitsforscher haben die ASR-Regel für Defender bereits umgangen und ihre Ausschlusspfade ausgenutzt, um Zugriff auf die Datei Lsass.exe zu erhalten.
Der Bericht erwähnt dies, da Defender bereits über mehrere Ausschlüsse verfügt – zum Beispiel erlaubt es bestimmte administrative Benutzer können ASR-Anfragen stellen und darauf antworten – dies ermöglicht Hackern, diese Regeln auszunutzen, während sie neue Angriffsmöglichkeiten entdecken Computers.
Das bedeutet, dass nur Benutzer der Enterprise- und Pro-Versionen von Windows 11 durch die verbesserte ASR-Regel geschützt werden.
Die neue ASR-Regel wurde jedoch von Sicherheitsforschern begrüßt. Da es Windows ein wenig sicherer macht, ist es umso besser, je weniger Passwörter gestohlen werden, da alle davon profitieren.
Die neuste Version von Microsoft Defender, bekannt als Microsoft Defender Preview, bietet ein Dashboard, in dem Sie die Sicherheit Ihrer Geräte verwalten können.
Ist das neue Microsoft Defender-Upgrade Ihrer Meinung nach in Bezug auf die Windows-Sicherheit vielversprechend? Teilen Sie uns Ihre Gedanken im Kommentarbereich unten mit.
