- Microsoft memperkuat keamanan Windows dengan menambahkan aturan yang sangat penting pada antivirusnya.
- Aturan ASR baru sedang diperkenalkan ke Microsoft Defender, dan itu dirancang untuk mencegah aplikasi jahat mengekstrak kata sandi yang digunakan di PC.
- Pengenalan aturan ASR yang baru merupakan bagian dari upaya Microsoft untuk membuat sistem operasinya lebih aman, terutama terhadap serangan malware.
Jika Anda sedang berlari Windows 11 atau versi terbaru Windows Server, antivirus Microsoft Defender yang merupakan bagian dari sistem operasi sekarang dapat mencegah kata sandi Anda dicuri.
Fitur baru telah diperkenalkan melalui aturan Antimalware Scan Interface (ASR), yang merupakan seperangkat aturan yang digunakan oleh Microsoft Defender untuk memindai file dan memblokir malware.
Aturan tersebut menggunakan pembelajaran mesin untuk mengidentifikasi proses berbahaya yang tidak memerlukan akses ke fungsi LSA di Windows tetapi tetap mencoba mengaksesnya.
Bagaimana LSASS beroperasi
Layanan Subsistem Otoritas Keamanan Lokal (LSASS) adalah proses di Windows yang menangani login dan lainnya tugas terkait keamanan, jadi begitu malware memiliki akses ke fungsi LSA, malware dapat mencuri kredensial dari memori atau lainnya metode dari
Fitur keamanan Windows.Credential Guard Microsoft mengautentikasi pengguna yang masuk ke komputer, melindungi sistem dengan komponen Defender-nya. Masalah dengan ini adalah bahwa tidak semua lingkungan akan mengaktifkan Credential Guard, karena tidak kompatibel dengan semua program.
File dump memori yang dibuat ketika penyerang telah melanggar komputer pengguna dapat berisi kata sandi dan nama pengguna pengguna. File ini dimungkinkan dengan penggunaan Mimikatz, alat khusus yang dirancang untuk tujuan ini.
Penyerang dapat menggunakan proses yang sah yang ada pada sistem operasi untuk mendapatkan akses penuh ke sistem dan mengirimkan dump memori yang berisi kredensial ke lokasi terpencil.
Pembela tidak akan memblokir tindakan ini karena prosesnya sah dan tindakannya tidak berbahaya. Defender hanya mendeteksi penggunaan proses yang berbahaya dan tidak dapat mencegah pembuatan atau transmisinya.
Pembaruan Microsoft Defender
Microsoft telah mengatasi masalah keamanan ini dengan memperkenalkan aturan keamanan baru yang disebut Pengurangan Permukaan Serangan (ASR).
Aturan ini akan mencegah program membuka LSASS, dan pada gilirannya, juga akan mencegahnya membuat dump memori. Ini akan memblokir akses ke LSASS bahkan jika program yang memiliki hak tinggi mencoba untuk membuka proses.
Karena hanya program dengan hak administrator yang dapat membuka LSASS, blok ini juga mencegahnya mengakses proses terlindungi lainnya yang mungkin berjalan di komputer.
Aturan juga memblokir proses yang dilindungi itu sendiri dari membuka gambarnya sendiri, sehingga tidak mungkin untuk menangkap atau mengubah data dalam memori yang dilindungi.
Pengaturan default ini menyebabkan aturan ASR ini diaktifkan, sementara semua aturan lain yang terkait dengannya tetap dalam status default.
Keuntungan dan kerugian
Microsoft Defender memang menggunakan sistem deteksi yang mendeteksi malware yang dikenal dan tidak dikenal, tetapi itu tidak mudah. Penulis malware selalu mencari cara baru untuk melindungi malware mereka agar tidak terdeteksi.
Namun, jika Anda menggunakan perangkat lunak antivirus pihak ketiga di komputer Anda, aturan ASR tidak tersedia. Kurangnya aturan ASR memungkinkan peretas untuk melewati batasan Microsoft Defender serta jalur pengecualiannya.
Sejumlah Peneliti keamanan Windows telah melewati aturan ASR untuk Defender, mengeksploitasi jalur pengecualiannya untuk mendapatkan akses ke file Lsass.exe.
Laporan tersebut menyebutkan bahwa karena Defender sudah memiliki beberapa pengecualian—misalnya, hal itu memungkinkan administratif tertentu pengguna untuk bertanya dan menanggapi permintaan ASR—ini memungkinkan peretas untuk mengeksploitasi aturan tersebut saat mereka menemukan cara baru untuk menargetkan komputer.
Ini berarti bahwa hanya pengguna di Windows 11 versi Enterprise dan Pro yang akan dilindungi oleh aturan ASR yang ditingkatkan.
Namun, aturan ASR baru ini disambut baik oleh para peneliti keamanan. Karena membuat Windows sedikit lebih aman, semakin sedikit kata sandi yang dicuri, semakin baik, karena semua orang akan mendapat manfaat darinya.
Versi terbaru dari Pembela Microsoft, yang dikenal sebagai Microsoft Defender Preview, menawarkan dasbor tempat Anda dapat mengelola keamanan perangkat Anda.
Apakah upgrade baru Microsoft defender menjanjikan dari segi keamanan windows menurut Anda? Beri kami pemikiran Anda di bagian komentar di bawah.
