- Microsoft jača sigurnost sustava Windows dodavanjem vrlo važnog pravila svom antivirusnom programu.
- Novo pravilo ASR-a uvodi se u Microsoft Defender, a dizajnirano je da spriječi zlonamjerne aplikacije da izvlače lozinke koje se koriste na računalu.
- Uvođenje novog pravila ASR dio je Microsoftovih napora da svoj operativni sustav učini sigurnijim, posebno protiv napada zlonamjernog softvera.
Ako trčite Windows 11 ili najnovije verzije Windows Servera, antivirusni program Microsoft Defender koji je dio operativnog sustava sada može spriječiti krađu vaših lozinki.
Nova značajka uvedena je putem pravila Antimalware Scan Interface (ASR), koje je skup pravila koje koristi Microsoft Defender za skeniranje datoteka i blokiranje zlonamjernog softvera.
Pravilo koristi strojno učenje za prepoznavanje zlonamjernih procesa koji ne trebaju pristup LSA funkcijama u sustavu Windows, ali im svejedno pokušavaju pristupiti.
Kako LSASS djeluje
Usluga podsustava lokalnog sigurnosnog autoriteta (LSASS) je proces u sustavu Windows koji obrađuje prijave i ostalo zadaci povezani sa sigurnošću, pa kada zlonamjerni softver ima pristup LSA funkcijama, može ukrasti vjerodajnice iz memorije ili drugih metode iz
Sigurnosne značajke sustava Windows.Microsoftov Credential Guard provjerava autentičnost korisnika koji se prijavljuju na računalo, štiteći sustav svojom komponentom Defender. Problem s ovim je što neće u svim okruženjima biti omogućen Credential Guard, jer nije kompatibilan sa svim programima.
Datoteka s ispisom memorije koja se stvara kada je napadač provalio u korisničko računalo može sadržavati korisničku lozinku i korisničko ime. Ova datoteka je omogućena korištenjem Mimikatza, posebnog alata dizajniranog za ovu svrhu.
Napadači mogu koristiti legitiman proces koji postoji na operativnom sustavu kako bi dobili puni pristup sustavu i prenijeli memorijske dumpove koji sadrže vjerodajnice na udaljene lokacije.
Defender neće blokirati ovu radnju jer je proces legitiman i radnja nije štetna. Defender samo otkriva zlonamjernu upotrebu procesa i ne može spriječiti njihovo stvaranje ili prijenos.
Ažuriranja za Microsoft Defender
Microsoft je riješio ovaj sigurnosni problem uvođenjem novog sigurnosnog pravila pod nazivom Smanjenje površine napada (ASR).
Ovo pravilo će spriječiti programe da otvore LSASS, a zauzvrat će ih spriječiti i u stvaranju memorije. Blokirati će pristup LSASS-u čak i ako program koji ima povišena prava pokuša otvoriti proces.
Budući da samo programi s administratorskim povlasticama mogu otvoriti LSASS, ovaj blok im također onemogućuje pristup drugim zaštićenim procesima koji se mogu izvoditi na računalu.
Pravilo također blokira sam zaštićeni proces od otvaranja vlastite slike, što onemogućuje hvatanje ili modificiranje podataka u zaštićenoj memoriji.
Ova zadana postavka rezultira time da je ovo ASR pravilo omogućeno, dok sva ostala pravila povezana s njim ostaju u zadanom stanju.
Prednosti i nedostatci
Microsoft Defender koristi sustav za otkrivanje koji otkriva i poznati i nepoznati zlonamjerni softver, ali nije siguran. Autori zlonamjernog softvera uvijek traže nove načine zaštite svog zlonamjernog softvera od otkrivanja.
Međutim, ako na svom računalu koristite antivirusni softver treće strane, pravilo ASR nije dostupno. Nedostatak ASR pravila omogućuje hakerima da zaobiđu ograničenja Microsoft Defendera, kao i njegove putove isključivanja.
Brojni Istraživači sigurnosti sustava Windows već su zaobišli ASR pravilo za Defender, iskorištavajući njegove putove za isključivanje kako bi dobili pristup datoteci Lsass.exe.
U izvješću se to spominje jer Defender već ima višestruka izuzimanja—na primjer, dopušta određene administrativne korisnicima da pitaju i odgovaraju na ASR zahtjeve – to omogućuje hakerima da iskoriste ta pravila dok otkrivaju nove načine ciljanja računala.
To znači da će samo korisnici na Enterprise i Pro verzijama sustava Windows 11 biti zaštićeni poboljšanim pravilom ASR.
Međutim, istraživači sigurnosti pozdravili su novo pravilo ASR-a. Kako Windows čini malo sigurnijim, što je manje ukradenih lozinki, to bolje, jer će svi imati koristi od toga.
Najnovija verzija od Microsoft Defender, poznat kao Microsoft Defender Preview, nudi nadzornu ploču na kojoj možete upravljati sigurnošću svojih uređaja.
Je li po vama nova nadogradnja Microsoftovog branitelja obećavajuća u smislu sigurnosti sustava Windows? Dajte nam svoje mišljenje u odjeljku za komentare u nastavku.