- מיקרוסופט מחזקת את האבטחה של Windows על ידי הוספת כלל חשוב מאוד לאנטי וירוס שלה.
- כלל ASR חדש מוצג ל-Microsoft Defender, והוא נועד למנוע מאפליקציות זדוניות לחלץ סיסמאות המשמשות במחשב האישי.
- הכנסת כלל ה-ASR החדש היא חלק מהמאמצים של מיקרוסופט להפוך את מערכת ההפעלה שלה לאבטחה יותר, במיוחד מפני התקפות תוכנות זדוניות.
אם אתה רץ Windows 11 או גרסה עדכנית של Windows Server, אנטי וירוס Microsoft Defender המהווה חלק ממערכת ההפעלה יכול כעת למנוע את גניבת הסיסמאות שלך.
התכונה החדשה הוצגה באמצעות כלל Antimalware Scan Interface (ASR), שהוא מערכת כללים המשמשת את Microsoft Defender לסריקת קבצים ולחסימת תוכנות זדוניות.
הכלל משתמש בלמידת מכונה כדי לזהות תהליכים זדוניים שאינם זקוקים לגישה לפונקציות LSA ב-Windows, אך מנסים לגשת אליהם בכל זאת.
כיצד פועלים LSASS
שירות המשנה של רשות האבטחה המקומית (LSASS) הוא תהליך ב-Windows המטפל בכניסות ואחרות משימות הקשורות לאבטחה, כך שברגע שתוכנה זדונית יש גישה לפונקציות LSA, היא יכולה לגנוב אישורים מהזיכרון או אחרים שיטות מ תכונות אבטחה של Windows.
Credential Guard של מיקרוסופט מאמת משתמשים הנכנסים למחשב, ומגן על המערכת באמצעות רכיב ה-Defender שלה. הבעיה עם זה היא שלא בכל הסביבות יופעל Credential Guard, מכיוון שהוא אינו תואם לכל התוכניות.
קובץ dump הזיכרון שנוצר כאשר תוקף פרץ למחשב של משתמש יכול להכיל את הסיסמה ואת שם המשתמש של המשתמש. קובץ זה מתאפשר בעזרת מימיקץ, כלי מיוחד המיועד למטרה זו.
תוקפים יכולים להשתמש בתהליך לגיטימי שקיים במערכת ההפעלה כדי לקבל גישה מלאה למערכת ולשדר מזימות זיכרון המכילות אישורים למיקומים מרוחקים.
Defender לא יחסום פעולה זו מכיוון שהתהליך הוא לגיטימי והפעולה אינה מזיקה. Defender מזהה רק שימוש זדוני בתהליכים ואינו יכול למנוע את יצירתם או העברתם.
העדכונים של Microsoft Defender
מיקרוסופט טיפלה בבעיית אבטחה זו עם הצגת כלל אבטחה חדש בשם הפחתת משטח התקפה (ASR).
כלל זה ימנע מתוכנות לפתוח את LSASS, ובתמורה גם ימנע מהן ליצור את dump הזיכרון. זה יחסום את הגישה ל-LSASS גם אם תוכנית שיש לה זכויות מוגברות תנסה לפתוח את התהליך.
מכיוון שרק תוכניות עם הרשאות מנהל יכולות לפתוח את LSASS, חסימה זו גם מונעת מהן גישה לתהליכים מוגנים אחרים שעלולים לפעול במחשב.
הכלל גם חוסם את התהליך המוגן עצמו מלפתוח תמונה משלו, מה שהופך את זה לבלתי אפשרי ללכוד או לשנות נתונים בזיכרון מוגן.
הגדרת ברירת מחדל זו גורמת לכך שכלל ASR זה מופעל, בעוד שכל שאר הכללים הקשורים אליו נשארים במצב ברירת המחדל שלהם.
יתרונות וחסרונות
Microsoft Defender אמנם משתמשת במערכת זיהוי שמזהה תוכנות זדוניות ידועות וגם לא ידועות, אך היא אינה חסינת תקלות. כותבי תוכנות זדוניות תמיד מחפשים דרכים חדשות להגן על תוכנות זדוניות שלהם מפני זיהוי.
עם זאת, אם אתה משתמש בתוכנת אנטי-וירוס של צד שלישי במחשב שלך, כלל ה-ASR אינו זמין. היעדר כלל ה-ASR מאפשר להאקרים לעקוף את ההגבלה של Microsoft Defender כמו גם את נתיבי ההחרגה שלה.
מספר של חוקרי אבטחה של Windows כבר עקפו את כלל ה-ASR עבור Defender, תוך ניצול נתיבי ההחרגה שלו כדי לקבל גישה לקובץ Lsass.exe.
הדו"ח מזכיר שמכיוון של-Defender כבר יש מספר אי-הכללות - למשל, הוא מאפשר ניהול מסויים משתמשים לשאול ולהגיב לבקשות ASR - זה מאפשר להאקרים לנצל את הכללים האלה בזמן שהם מגלים דרכים חדשות למקד מחשבים.
המשמעות היא שרק משתמשים בגרסאות Enterprise ו-Pro של Windows 11 יהיו מוגנים על ידי כלל ה-ASR המשופר.
עם זאת, כלל ה-ASR החדש התקבל בברכה על ידי חוקרי אבטחה. מכיוון שהוא הופך את Windows לקצת יותר בטוח, ככל שיש פחות סיסמאות גנובות, כך ייטב, מכיוון שכולם ירוויחו מכך.
הגרסה האחרונה של Microsoft Defender, המכונה Microsoft Defender Preview, מציע לוח מחוונים שבו תוכל לנהל את האבטחה של המכשירים שלך.
האם השדרוג החדש של Microsoft Defender מבטיח מבחינת אבטחת חלונות לדבריך? תן לנו את המחשבות שלך בקטע ההערות למטה.
