Microsoft wordt slim over wachtwoorden

  • Microsoft versterkt de beveiliging van Windows door een zeer belangrijke regel toe te voegen aan zijn antivirusprogramma.
  • Er wordt een nieuwe ASR-regel geïntroduceerd in Microsoft Defender en deze is ontworpen om te voorkomen dat schadelijke apps wachtwoorden extraheren die op de pc worden gebruikt.
  • De introductie van de nieuwe ASR-regel maakt deel uit van de inspanningen van Microsoft om zijn besturingssysteem beter te beveiligen, met name tegen malware-aanvallen.
Microsoft Defender is de re-branded versie van Windows Defender

Als je aan het rennen bent Windows 11 of een recente versie van Windows Server, de Microsoft Defender-antivirus die deel uitmaakt van het besturingssysteem, kan nu voorkomen dat uw wachtwoorden worden gestolen.

De nieuwe functie is geïntroduceerd via een Antimalware Scan Interface (ASR)-regel, een set regels die door Microsoft Defender wordt gebruikt om bestanden te scannen en malware te blokkeren.

De regel maakt gebruik van machine learning om kwaadaardige processen te identificeren die geen toegang tot de LSA-functies in Windows nodig hebben, maar toch proberen toegang te krijgen.

Hoe LSASS werkt

De Local Security Authority Subsystem Service (LSASS) is een proces in Windows dat aanmeldingen en andere beveiligingsgerelateerde taken, dus zodra malware toegang heeft tot LSA-functies, kan het inloggegevens uit het geheugen of andere stelen methoden van Windows-beveiligingsfuncties.

Microsoft's Credential Guard verifieert gebruikers die inloggen op een computer en beschermt het systeem met zijn Defender-component. Het probleem hiermee is dat Credential Guard niet in alle omgevingen is ingeschakeld, omdat het niet compatibel is met alle programma's.

Het geheugendumpbestand dat wordt gemaakt wanneer een aanvaller de computer van een gebruiker heeft binnengedrongen, kan het wachtwoord en de gebruikersnaam van de gebruiker bevatten. Dit bestand is mogelijk gemaakt door het gebruik van Mimikatz, een speciaal hiervoor ontworpen tool.

Aanvallers kunnen een legitiem proces op het besturingssysteem gebruiken om volledige toegang tot het systeem te krijgen en geheugendumps met referenties naar externe locaties te verzenden.

Defender blokkeert deze actie niet omdat het proces legitiem is en de actie niet schadelijk is. Defender detecteert alleen kwaadaardig gebruik van processen en kan het maken of verzenden ervan niet voorkomen.

Updates van Microsoft Defender

Microsoft heeft dit beveiligingsprobleem aangepakt met de introductie van een nieuwe beveiligingsregel genaamd Vermindering van aanvalsoppervlak (ASR).

Deze regel voorkomt dat programma's LSASS openen en op zijn beurt ook voorkomen dat ze de geheugendump maken. Het blokkeert de toegang tot LSASS, zelfs als een programma met verhoogde rechten het proces probeert te openen.

Omdat alleen programma's met beheerdersrechten LSASS kunnen openen, voorkomt dit blok ook dat ze toegang krijgen tot andere beveiligde processen die mogelijk op de computer worden uitgevoerd.

De regel blokkeert ook het beveiligde proces zelf om zijn eigen afbeelding te openen, waardoor het onmogelijk wordt om gegevens in het beschermde geheugen vast te leggen of te wijzigen.

Deze standaardinstelling heeft tot gevolg dat deze ASR-regel wordt ingeschakeld, terwijl alle andere regels die hieraan gerelateerd zijn in hun standaardstatus blijven.

Voor-en nadelen

Microsoft Defender gebruikt wel een detectiesysteem dat zowel bekende als onbekende malware detecteert, maar het is niet onfeilbaar. Malwareschrijvers zijn altijd op zoek naar nieuwe manieren om te voorkomen dat hun malware wordt gedetecteerd.

Als u echter antivirussoftware van derden op uw computer gebruikt, is de ASR-regel niet beschikbaar. Door het ontbreken van de ASR-regel kunnen hackers de beperking en uitsluitingspaden van Microsoft Defender omzeilen.

Een aantal Windows-beveiligingsonderzoekers hebben de ASR-regel voor Defender al omzeild, gebruikmakend van de uitsluitingspaden om toegang te krijgen tot het Lsass.exe-bestand.

Het rapport vermeldt dat, omdat Defender al meerdere uitsluitingen heeft, bijvoorbeeld bepaalde administratieve gebruikers om ASR-verzoeken te vragen en erop te reageren - hierdoor kunnen hackers die regels misbruiken terwijl ze nieuwe manieren ontdekken om zich te richten computers.

Dit betekent dat alleen gebruikers van de Enterprise- en Pro-versie van Windows 11 worden beschermd door de verbeterde ASR-regel.

De nieuwe ASR-regel is echter verwelkomd door beveiligingsonderzoekers. Omdat het Windows een beetje veiliger maakt, is het zo dat hoe minder gestolen wachtwoorden er zijn, hoe beter, want daar profiteert iedereen van.

De nieuwste versie van Microsoft Defender, bekend als Microsoft Defender Preview, biedt een dashboard waar u de beveiliging van uw apparaten kunt beheren.

Is de nieuwe upgrade van Microsoft defender volgens jou veelbelovend op het gebied van Windows-beveiliging? Geef ons uw mening in de opmerkingen hieronder.

Microsoft Windows 10 Creators Update zal veel advertenties opleveren

Microsoft Windows 10 Creators Update zal veel advertenties opleverenDiversen

Het is verrassend hoe weinig buzz de advertentie-inspanningen van Microsoft creëren, aangezien het bedrijf toegeeft aan giving de diepe behoefte om onze computerschermen te overladen met tientallen...

Lees verder
Hoe recent verwijderde bestanden te herstellen [Windows 10 & Mac]

Hoe recent verwijderde bestanden te herstellen [Windows 10 & Mac]Diversen

Er zijn een paar manieren waarop gebruikers recent verwijderde bestanden op zowel Windows- als Mac-platforms kunnen herstellen.De snelste en veiligste methode is om gespecialiseerde herstelsoftware...

Lees verder
5 gadgeturi ieftine si utile [Cadouri de Craciun]

5 gadgeturi ieftine si utile [Cadouri de Craciun]Diversen

Chiar daca nu a fost cuminte, oricine merita un gadget de Craciun, chiar si unul mai ieftin.U kunt uw gadget gebruiken om een ​​buget te maken voor de microfoon die u kunt gebruiken om een ​​lijst ...

Lees verder