- Microsoft sta rafforzando la sicurezza di Windows aggiungendo una regola molto importante al suo antivirus.
- Viene introdotta una nuova regola ASR in Microsoft Defender ed è progettata per impedire alle app dannose di estrarre le password usate nel PC.
- L'introduzione della nuova regola ASR fa parte degli sforzi di Microsoft per rendere il proprio sistema operativo più sicuro, in particolare contro gli attacchi di malware.
Se stai correndo Windows 11 o una versione recente di Windows Server, l'antivirus Microsoft Defender che fa parte del sistema operativo ora può impedire il furto delle password.
La nuova funzionalità è stata introdotta tramite una regola ASR (Antimalware Scan Interface), che è un insieme di regole utilizzate da Microsoft Defender per analizzare i file e bloccare il malware.
La regola utilizza l'apprendimento automatico per identificare i processi dannosi che non richiedono l'accesso alle funzioni LSA in Windows ma che tentano comunque di accedervi.
Come funziona LSASS
Il Local Security Authority Subsystem Service (LSASS) è un processo in Windows che gestisce gli accessi e altro attività relative alla sicurezza, quindi una volta che il malware ha accesso alle funzioni LSA, può rubare le credenziali dalla memoria o altro metodi da
Funzionalità di sicurezza di Windows.Credential Guard di Microsoft autentica gli utenti che accedono a un computer, proteggendo il sistema con il suo componente Defender. Il problema è che non tutti gli ambienti avranno Credential Guard abilitato, poiché non è compatibile con tutti i programmi.
Il file di dump della memoria creato quando un utente malintenzionato ha violato il computer di un utente può contenere la password e il nome utente dell'utente. Questo file è possibile grazie all'uso di Mimikatz, uno strumento speciale progettato per questo scopo.
Gli aggressori possono utilizzare un processo legittimo esistente nel sistema operativo per ottenere l'accesso completo al sistema e trasmettere dump di memoria contenenti credenziali a posizioni remote.
Defender non bloccherà questa azione perché il processo è legittimo e l'azione non è dannosa. Defender rileva solo l'uso dannoso dei processi e non può impedirne la creazione o la trasmissione.
Gli aggiornamenti di Microsoft Defender
Microsoft ha affrontato questo problema di sicurezza con l'introduzione di una nuova regola di sicurezza denominata Riduzione della superficie d'attacco (ASR).
Questa regola impedirà ai programmi di aprire LSASS e, a sua volta, impedirà loro anche di creare il dump della memoria. Bloccherà l'accesso a LSASS anche se un programma con diritti elevati tenta di aprire il processo.
Poiché solo i programmi con privilegi di amministratore possono aprire LSASS, questo blocco impedisce loro anche di accedere ad altri processi protetti che potrebbero essere in esecuzione sul computer.
La regola impedisce inoltre al processo protetto stesso di aprire la propria immagine, rendendo impossibile l'acquisizione o la modifica dei dati nella memoria protetta.
Questa impostazione predefinita comporta l'abilitazione di questa regola ASR, mentre tutte le altre regole ad essa correlate rimangono nel loro stato predefinito.
Vantaggi e svantaggi
Microsoft Defender usa un sistema di rilevamento che rileva sia il malware noto che quello sconosciuto, ma non è infallibile. Gli autori di malware sono sempre alla ricerca di nuovi modi per proteggere il proprio malware dal rilevamento.
Se, tuttavia, stai utilizzando un software antivirus di terze parti sul tuo computer, la regola ASR non è disponibile. La mancanza della regola ASR consente agli hacker di aggirare la restrizione di Microsoft Defender e i suoi percorsi di esclusione.
Un numero di Ricercatori di sicurezza di Windows hanno già aggirato la regola ASR per Defender, sfruttando i suoi percorsi di esclusione per ottenere l'accesso al file Lsass.exe.
Il rapporto lo menziona poiché Defender ha già più esclusioni in atto, ad esempio consente determinate operazioni amministrative agli utenti di chiedere e rispondere alle richieste ASR: ciò consente agli hacker di sfruttare tali regole mentre scoprono nuovi modi per prendere di mira computer.
Ciò significa che solo gli utenti delle versioni Enterprise e Pro di Windows 11 saranno protetti dalla regola ASR migliorata.
Tuttavia, la nuova regola ASR è stata accolta favorevolmente dai ricercatori di sicurezza. Poiché rende Windows un po' più sicuro, meno password rubate ci sono, meglio è, poiché tutti ne trarranno vantaggio.
L'ultima versione di Microsoft Defender, noto come Microsoft Defender Preview, offre un dashboard in cui puoi gestire la sicurezza dei tuoi dispositivi.
Il nuovo aggiornamento di Microsoft defender è promettente in termini di sicurezza di Windows secondo te? Dacci i tuoi pensieri nella sezione commenti qui sotto.
