- Microsoft renforce la sécurité de Windows en ajoutant une règle très importante à son antivirus.
- Une nouvelle règle ASR est introduite dans Microsoft Defender et est conçue pour empêcher les applications malveillantes d'extraire les mots de passe utilisés sur le PC.
- L'introduction de la nouvelle règle ASR fait partie des efforts de Microsoft pour rendre son système d'exploitation plus sûr, notamment contre les attaques de logiciels malveillants.
Si vous courez Windows 11 ou une version récente de Windows Server, l'antivirus Microsoft Defender intégré au système d'exploitation peut désormais empêcher le vol de vos mots de passe.
La nouvelle fonctionnalité a été introduite via une règle Antimalware Scan Interface (ASR), qui est un ensemble de règles utilisées par Microsoft Defender pour analyser les fichiers et bloquer les logiciels malveillants.
La règle utilise l'apprentissage automatique pour identifier les processus malveillants qui n'ont pas besoin d'accéder aux fonctions LSA dans Windows mais qui tentent quand même d'y accéder.
Fonctionnement de LSASS
Le service de sous-système de l'autorité de sécurité locale (LSASS) est un processus de Windows qui gère les connexions et autres tâches liées à la sécurité, de sorte qu'une fois que les logiciels malveillants ont accès aux fonctions LSA, ils peuvent voler les informations d'identification de la mémoire ou d'autres méthodes de Fonctionnalités de sécurité Windows.
Credential Guard de Microsoft authentifie les utilisateurs qui se connectent à un ordinateur, protégeant le système avec son composant Defender. Le problème avec ceci est que tous les environnements n'auront pas activé Credential Guard, car il n'est pas compatible avec tous les programmes.
Le fichier de vidage de la mémoire créé lorsqu'un attaquant a piraté l'ordinateur d'un utilisateur peut contenir le mot de passe et le nom d'utilisateur de l'utilisateur. Ce fichier est rendu possible grâce à l'utilisation de Mimikatz, un outil spécial conçu à cet effet.
Les attaquants peuvent utiliser un processus légitime qui existe sur le système d'exploitation pour obtenir un accès complet au système et transmettre des vidages de mémoire contenant des informations d'identification à des emplacements distants.
Defender ne bloquera pas cette action car le processus est légitime et l'action n'est pas nuisible. Defender détecte uniquement l'utilisation malveillante des processus et ne peut pas empêcher leur création ou leur transmission.
Mises à jour de Microsoft Defender
Microsoft a résolu ce problème de sécurité avec l'introduction d'une nouvelle règle de sécurité appelée Réduction de la surface d'attaque (ARS).
Cette règle empêchera les programmes d'ouvrir LSASS et, à son tour, les empêchera également de créer le vidage de la mémoire. Il bloquera l'accès à LSASS même si un programme disposant de droits élevés tente d'ouvrir le processus.
Étant donné que seuls les programmes disposant de privilèges d'administrateur peuvent ouvrir LSASS, ce blocage les empêche également d'accéder à d'autres processus protégés qui pourraient être en cours d'exécution sur l'ordinateur.
La règle empêche également le processus protégé lui-même d'ouvrir sa propre image, ce qui rend impossible la capture ou la modification de données dans la mémoire protégée.
Ce paramètre par défaut entraîne l'activation de cette règle ASR, tandis que toutes les autres règles qui lui sont associées restent dans leur état par défaut.
Avantages et inconvénients
Microsoft Defender utilise un système de détection qui détecte à la fois les logiciels malveillants connus et inconnus, mais il n'est pas infaillible. Les auteurs de logiciels malveillants sont toujours à la recherche de nouvelles façons de protéger leurs logiciels malveillants contre la détection.
Si, toutefois, vous utilisez un logiciel antivirus tiers sur votre ordinateur, la règle ASR n'est pas disponible. L'absence de règle ASR permet aux pirates de contourner la restriction de Microsoft Defender ainsi que ses chemins d'exclusion.
Un nombre de Chercheurs en sécurité Windows ont déjà contourné la règle ASR pour Defender, exploitant ses chemins d'exclusion pour accéder au fichier Lsass.exe.
Le rapport mentionne que, parce que Defender a déjà plusieurs exclusions en place, par exemple, il permet à certains administratifs aux utilisateurs de demander et de répondre aux demandes ASR - cela permet aux pirates d'exploiter ces règles tout en découvrant de nouvelles façons de cibler des ordinateurs.
Cela signifie que seuls les utilisateurs des versions Enterprise et Pro de Windows 11 seront protégés par la règle ASR améliorée.
Cependant, la nouvelle règle ASR a été bien accueillie par les chercheurs en sécurité. Comme cela rend Windows un peu plus sécurisé, moins il y a de mots de passe volés, mieux c'est, car tout le monde en bénéficiera.
La dernière version de Microsoft Defender, connu sous le nom de Microsoft Defender Preview, propose un tableau de bord où vous pouvez gérer la sécurité de vos appareils.
La nouvelle mise à jour de Microsoft Defender est-elle prometteuse en termes de sécurité Windows selon vous? Donnez-nous votre avis dans la section des commentaires ci-dessous.
