- Microsoft está reforzando la seguridad de Windows añadiendo una regla muy importante a su antivirus.
- Se está introduciendo una nueva regla ASR en Microsoft Defender y está diseñada para evitar que las aplicaciones malintencionadas extraigan las contraseñas utilizadas en la PC.
- La introducción de la nueva regla ASR es parte de los esfuerzos de Microsoft para hacer que su sistema operativo sea más seguro, especialmente contra los ataques de malware.
si estas corriendo ventanas 11 o una versión reciente de Windows Server, el antivirus Microsoft Defender que forma parte del sistema operativo ahora puede evitar que roben sus contraseñas.
La nueva función se introdujo a través de una regla de Interfaz de análisis antimalware (ASR), que es un conjunto de reglas que utiliza Microsoft Defender para analizar archivos y bloquear malware.
La regla utiliza el aprendizaje automático para identificar procesos maliciosos que no necesitan acceso a las funciones de LSA en Windows pero que intentan acceder a ellos de todos modos.
Cómo opera LSASS
El Servicio de subsistema de autoridad de seguridad local (LSASS) es un proceso en Windows que maneja los inicios de sesión y otros tareas relacionadas con la seguridad, por lo que una vez que el malware tiene acceso a las funciones de LSA, puede robar credenciales de la memoria u otros métodos de Características de seguridad de Windows.
Credential Guard de Microsoft autentica a los usuarios que inician sesión en una computadora, protegiendo el sistema con su componente Defender. El problema con esto es que no todos los entornos tendrán habilitado Credential Guard, ya que no es compatible con todos los programas.
El archivo de volcado de memoria que se crea cuando un atacante ha violado la computadora de un usuario puede contener la contraseña y el nombre de usuario del usuario. Este archivo es posible con el uso de Mimikatz, una herramienta especial diseñada para este propósito.
Los atacantes pueden usar un proceso legítimo que existe en el sistema operativo para obtener acceso completo al sistema y transmitir volcados de memoria que contienen credenciales a ubicaciones remotas.
Defender no bloqueará esta acción porque el proceso es legítimo y la acción no es dañina. Defender solo detecta el uso malicioso de los procesos y no puede evitar su creación o transmisión.
Actualizaciones de Microsoft Defender
Microsoft ha abordado este problema de seguridad con la introducción de una nueva regla de seguridad llamada Reducción de superficie de ataque (ASR).
Esta regla evitará que los programas abran LSASS y, a su vez, también evitará que creen el volcado de memoria. Bloqueará el acceso a LSASS incluso si un programa que tiene derechos elevados intenta abrir el proceso.
Dado que solo los programas con privilegios de administrador pueden abrir LSASS, este bloqueo también les impide acceder a otros procesos protegidos que podrían estar ejecutándose en la computadora.
La regla también impide que el propio proceso protegido abra su propia imagen, lo que hace imposible capturar o modificar datos en la memoria protegida.
Esta configuración predeterminada hace que esta regla ASR esté habilitada, mientras que todas las demás reglas relacionadas con ella permanecen en su estado predeterminado.
Ventajas y desventajas
Microsoft Defender utiliza un sistema de detección que detecta malware conocido y desconocido, pero no es infalible. Los creadores de malware siempre están buscando nuevas formas de proteger su malware para que no sea detectado.
Sin embargo, si está utilizando un software antivirus de terceros en su computadora, la regla ASR no está disponible. La falta de la regla ASR permite a los piratas eludir la restricción de Microsoft Defender, así como sus rutas de exclusión.
Un numero de Investigadores de seguridad de Windows ya han pasado por alto la regla ASR para Defender, explotando sus rutas de exclusión para obtener acceso al archivo Lsass.exe.
El informe menciona que debido a que Defender ya cuenta con múltiples exclusiones, por ejemplo, permite ciertas exclusiones administrativas. usuarios preguntar y responder a las solicitudes de ASR; esto permite a los piratas informáticos explotar esas reglas mientras descubren nuevas formas de atacar ordenadores.
Esto significa que solo los usuarios de las versiones Enterprise y Pro de Windows 11 estarán protegidos por la regla ASR mejorada.
Sin embargo, la nueva regla ASR ha sido bien recibida por los investigadores de seguridad. Como hace que Windows sea un poco más seguro, cuantas menos contraseñas robadas haya, mejor, ya que todos se beneficiarán de eso.
La última versión de defensor de Microsoft, conocido como Microsoft Defender Preview, ofrece un panel donde puede administrar la seguridad de sus dispositivos.
¿La nueva actualización de Microsoft Defender es prometedora en términos de seguridad de Windows según usted? Danos tu opinión en la sección de comentarios a continuación.
