- Η Microsoft ενισχύει την ασφάλεια των Windows προσθέτοντας έναν πολύ σημαντικό κανόνα στο antivirus της.
- Ένας νέος κανόνας ASR εισάγεται στο Microsoft Defender και έχει σχεδιαστεί για να εμποδίζει τις κακόβουλες εφαρμογές να εξάγουν κωδικούς πρόσβασης που χρησιμοποιούνται στον υπολογιστή.
- Η εισαγωγή του νέου κανόνα ASR αποτελεί μέρος των προσπαθειών της Microsoft να κάνει το λειτουργικό της σύστημα πιο ασφαλές, ειδικά έναντι επιθέσεων κακόβουλου λογισμικού.
Αν τρέχεις Windows 11 ή μια πρόσφατη έκδοση του Windows Server, το πρόγραμμα προστασίας από ιούς Microsoft Defender που αποτελεί μέρος του λειτουργικού συστήματος μπορεί πλέον να αποτρέψει την κλοπή των κωδικών πρόσβασής σας.
Η νέα δυνατότητα εισήχθη μέσω ενός κανόνα Antimalware Scan Interface (ASR), ο οποίος είναι ένα σύνολο κανόνων που χρησιμοποιούνται από το Microsoft Defender για τη σάρωση αρχείων και τον αποκλεισμό κακόβουλου λογισμικού.
Ο κανόνας χρησιμοποιεί μηχανική εκμάθηση για τον εντοπισμό κακόβουλων διεργασιών που δεν χρειάζονται πρόσβαση στις λειτουργίες LSA στα Windows αλλά προσπαθούν να αποκτήσουν πρόσβαση σε αυτές ούτως ή άλλως.
Πώς λειτουργεί το LSASS
Η υπηρεσία υποσυστήματος τοπικής αρχής ασφαλείας (LSASS) είναι μια διαδικασία στα Windows που χειρίζεται συνδέσεις και άλλα εργασίες που σχετίζονται με την ασφάλεια, επομένως όταν το κακόβουλο λογισμικό έχει πρόσβαση στις λειτουργίες LSA, μπορεί να κλέψει διαπιστευτήρια από τη μνήμη ή άλλο μεθόδους από Χαρακτηριστικά ασφαλείας των Windows.
Το Credential Guard της Microsoft ελέγχει την ταυτότητα των χρηστών που συνδέονται σε έναν υπολογιστή, προστατεύοντας το σύστημα με το στοιχείο Defender. Το πρόβλημα με αυτό είναι ότι δεν θα είναι ενεργοποιημένο το Credential Guard σε όλα τα περιβάλλοντα, καθώς δεν είναι συμβατό με όλα τα προγράμματα.
Το αρχείο ένδειξης σφαλμάτων μνήμης που δημιουργείται όταν ένας εισβολέας έχει παραβιάσει τον υπολογιστή ενός χρήστη μπορεί να περιέχει τον κωδικό πρόσβασης και το όνομα χρήστη του χρήστη. Αυτό το αρχείο είναι δυνατό με τη χρήση του Mimikatz, ενός ειδικού εργαλείου που έχει σχεδιαστεί για αυτόν τον σκοπό.
Οι επιτιθέμενοι μπορούν να χρησιμοποιήσουν μια νόμιμη διαδικασία που υπάρχει στο λειτουργικό σύστημα για να αποκτήσουν πλήρη πρόσβαση στο σύστημα και να μεταδώσουν αρχεία αποθήκευσης μνήμης που περιέχουν διαπιστευτήρια σε απομακρυσμένες τοποθεσίες.
Το Defender δεν θα μπλοκάρει αυτήν την ενέργεια επειδή η διαδικασία είναι νόμιμη και η ενέργεια δεν είναι επιβλαβής. Το Defender εντοπίζει μόνο κακόβουλη χρήση διεργασιών και δεν μπορεί να αποτρέψει τη δημιουργία ή τη μετάδοσή τους.
Ενημερώσεις του Microsoft Defender
Η Microsoft έχει αντιμετωπίσει αυτό το ζήτημα ασφαλείας με την εισαγωγή ενός νέου κανόνα ασφαλείας που ονομάζεται Μείωση Επιφάνειας Επίθεσης (ASR).
Αυτός ο κανόνας θα αποτρέψει τα προγράμματα από το άνοιγμα LSASS και, με τη σειρά του, θα τα εμποδίσει επίσης να δημιουργήσουν την ένδειξη αποθήκευσης μνήμης. Θα μπλοκάρει την πρόσβαση στο LSASS ακόμα κι αν ένα πρόγραμμα που έχει αυξημένα δικαιώματα προσπαθήσει να ανοίξει τη διαδικασία.
Δεδομένου ότι μόνο προγράμματα με δικαιώματα διαχειριστή μπορούν να ανοίξουν το LSASS, αυτό το μπλοκ τα εμποδίζει επίσης να έχουν πρόσβαση σε άλλες προστατευμένες διαδικασίες που ενδέχεται να εκτελούνται στον υπολογιστή.
Ο κανόνας εμποδίζει επίσης την ίδια την προστατευμένη διαδικασία να ανοίξει τη δική της εικόνα, καθιστώντας αδύνατη την καταγραφή ή την τροποποίηση δεδομένων στην προστατευμένη μνήμη.
Αυτή η προεπιλεγμένη ρύθμιση έχει ως αποτέλεσμα την ενεργοποίηση αυτού του κανόνα ASR, ενώ όλοι οι άλλοι κανόνες που σχετίζονται με αυτόν παραμένουν στην προεπιλεγμένη τους κατάσταση.
Πλεονεκτήματα και μειονεκτήματα
Το Microsoft Defender χρησιμοποιεί ένα σύστημα ανίχνευσης που εντοπίζει τόσο γνωστό όσο και άγνωστο κακόβουλο λογισμικό, αλλά δεν είναι αλάνθαστο. Οι συντάκτες κακόβουλου λογισμικού αναζητούν πάντα νέους τρόπους για να προστατεύσουν το κακόβουλο λογισμικό τους από τον εντοπισμό.
Εάν, ωστόσο, χρησιμοποιείτε λογισμικό προστασίας από ιούς τρίτου κατασκευαστή στον υπολογιστή σας, ο κανόνας ASR δεν είναι διαθέσιμος. Η έλλειψη του κανόνα ASR επιτρέπει στους χάκερ να παρακάμψουν τον περιορισμό του Microsoft Defender καθώς και τις διαδρομές αποκλεισμού του.
Ενας αριθμός από Ερευνητές ασφάλειας των Windows έχουν ήδη παρακάμψει τον κανόνα ASR για το Defender, εκμεταλλευόμενοι τις διαδρομές αποκλεισμού του για να αποκτήσουν πρόσβαση στο αρχείο Lsass.exe.
Η αναφορά αναφέρει ότι επειδή το Defender έχει ήδη πολλαπλές εξαιρέσεις—για παράδειγμα, επιτρέπει ορισμένες διαχειριστικές οι χρήστες να ρωτούν και να απαντούν σε αιτήματα ASR—αυτό επιτρέπει στους χάκερ να εκμεταλλεύονται αυτούς τους κανόνες ενώ ανακαλύπτουν νέους τρόπους στόχευσης Υπολογιστές.
Αυτό σημαίνει ότι μόνο οι χρήστες στις εκδόσεις Enterprise και Pro των Windows 11 θα προστατεύονται από τον βελτιωμένο κανόνα ASR.
Ωστόσο, ο νέος κανόνας ASR χαιρετίστηκε από τους ερευνητές ασφαλείας. Καθώς κάνει τα Windows λίγο πιο ασφαλή, όσο λιγότεροι κλεμμένοι κωδικοί πρόσβασης υπάρχουν, τόσο το καλύτερο, καθώς όλοι θα επωφεληθούν από αυτό.
Η πιο πρόσφατη έκδοση του Microsoft Defender, γνωστό ως Microsoft Defender Preview, προσφέρει έναν πίνακα εργαλείων όπου μπορείτε να διαχειριστείτε την ασφάλεια των συσκευών σας.
Η νέα αναβάθμιση του Microsoft Defender είναι πολλά υποσχόμενη όσον αφορά την ασφάλεια των Windows σύμφωνα με εσάς; Πείτε μας τις σκέψεις σας στην παρακάτω ενότητα σχολίων.
