- Microsoft vahvistaa Windowsin turvallisuutta lisäämällä erittäin tärkeän säännön virustorjuntaansa.
- Uusi ASR-sääntö otetaan käyttöön Microsoft Defenderissä, ja se on suunniteltu estämään haitallisia sovelluksia poimimasta tietokoneessa käytettyjä salasanoja.
- Uuden ASR-säännön käyttöönotto on osa Microsoftin pyrkimyksiä parantaa käyttöjärjestelmänsä turvallisuutta erityisesti haittaohjelmahyökkäyksiä vastaan.
Jos olet juoksemassa Windows 11 tai uusin Windows Server -versio, käyttöjärjestelmään kuuluva Microsoft Defender -virustorjunta voi nyt estää salasanojesi varastamisen.
Uusi ominaisuus on otettu käyttöön Antimalware Scan Interface (ASR) -säännöllä, joka on joukko sääntöjä, joita Microsoft Defender käyttää tiedostojen tarkistamiseen ja haittaohjelmien estämiseen.
Sääntö tunnistaa koneoppimisen avulla haitalliset prosessit, jotka eivät tarvitse pääsyä Windowsin LSA-toimintoihin, mutta yrittävät kuitenkin päästä niihin.
Miten LSASS toimii
Local Security Authority Subsystem Service (LSASS) on Windowsin prosessi, joka käsittelee kirjautumisia ja muita tietoja turvallisuuteen liittyviä tehtäviä, joten kun haittaohjelmat pääsevät käyttämään LSA-toimintoja, se voi varastaa tunnistetietoja muistista tai muista menetelmät alkaen
Windowsin suojausominaisuudet.Microsoftin Credential Guard todentaa tietokoneeseen kirjautuvat käyttäjät ja suojaa järjestelmää Defender-komponentilla. Ongelma tässä on, että Credential Guard ei ole käytössä kaikissa ympäristöissä, koska se ei ole yhteensopiva kaikkien ohjelmien kanssa.
Muistivedostiedosto, joka luodaan, kun hyökkääjä on murtautunut käyttäjän tietokoneeseen, voi sisältää käyttäjän salasanan ja käyttäjätunnuksen. Tämä tiedosto on mahdollista Mimikatzin avulla, joka on tähän tarkoitukseen suunniteltu erikoistyökalu.
Hyökkääjät voivat käyttää käyttöjärjestelmässä olevaa laillista prosessia saadakseen täyden pääsyn järjestelmään ja lähettääkseen valtuustietoja sisältäviä muistivedoksia etäkohteisiin.
Defender ei estä tätä toimintoa, koska prosessi on laillinen ja toiminta ei ole haitallista. Defender havaitsee vain prosessien haitallisen käytön eikä voi estää niiden luomista tai lähettämistä.
Microsoft Defenderin päivitykset
Microsoft on ratkaissut tämän tietoturvaongelman ottamalla käyttöön uuden suojaussäännön nimeltä Hyökkäyspinnan pienennys (ASR).
Tämä sääntö estää ohjelmia avaamasta LSASS: ia ja puolestaan estää niitä luomasta muistivedosta. Se estää pääsyn LSASS: iin, vaikka ohjelma, jolla on korotetut oikeudet, yrittäisi avata prosessia.
Koska vain ohjelmat, joilla on järjestelmänvalvojan oikeudet, voivat avata LSASS: n, tämä lohko estää myös niitä käyttämästä muita suojattuja prosesseja, jotka saattavat olla käynnissä tietokoneessa.
Sääntö estää myös itse suojattua prosessia avaamasta omaa kuvaa, mikä tekee mahdottomaksi siepata tai muokata suojattuun muistiin tallennettuja tietoja.
Tämän oletusasetuksen ansiosta tämä ASR-sääntö otetaan käyttöön, kun taas kaikki muut siihen liittyvät säännöt pysyvät oletustilassaan.
Hyödyt ja haitat
Microsoft Defender käyttää tunnistusjärjestelmää, joka havaitsee sekä tunnetut että tuntemattomat haittaohjelmat, mutta se ei ole idioottivarma. Haittaohjelmien kirjoittajat etsivät jatkuvasti uusia tapoja suojata haittaohjelmiaan havaitsemiselta.
Jos kuitenkin käytät kolmannen osapuolen virustorjuntaohjelmistoa tietokoneessasi, ASR-sääntö ei ole käytettävissä. ASR-säännön puuttuminen antaa hakkereille mahdollisuuden ohittaa Microsoft Defenderin rajoitukset sekä sen poissulkemispolut.
Useita Windowsin tietoturvatutkijat ovat jo ohittaneet Defenderin ASR-säännön ja hyödyntäneet sen poissulkemispolkuja päästäkseen käsiksi Lsass.exe-tiedostoon.
Raportissa mainitaan, että koska Defenderillä on jo useita poissulkemisia, se sallii esimerkiksi tietyt hallinnolliset käyttäjät voivat kysyä ASR-pyyntöjä ja vastata niihin – tämän avulla hakkerit voivat hyödyntää näitä sääntöjä, kun he löytävät uusia tapoja kohdistaa tietokoneita.
Tämä tarkoittaa, että vain Windows 11:n Enterprise- ja Pro-versioiden käyttäjät suojataan parannetulla ASR-säännöllä.
Turvallisuustutkijat ovat kuitenkin suhtautuneet myönteisesti uuteen ASR-sääntöön. Koska se tekee Windowsista hieman turvallisemman, mitä vähemmän varastettuja salasanoja on, sitä parempi, koska kaikki hyötyvät siitä.
Viimeisin versio Microsoft Defender, joka tunnetaan nimellä Microsoft Defender Preview, tarjoaa kojelaudan, jossa voit hallita laitteidesi suojausta.
Onko Microsoftin uusi puolustajapäivitys lupaava Windows-turvallisuuden kannalta mielestäsi? Kerro meille mielipiteesi alla olevassa kommenttiosassa.
