- Microsoft styrker Windows' sikkerhet ved å legge til en svært viktig regel i antivirusprogrammet.
- En ny ASR-regel blir introdusert til Microsoft Defender, og den er utformet for å forhindre at ondsinnede apper trekker ut passord som brukes på PC-en.
- Innføringen av den nye ASR-regelen er en del av Microsofts innsats for å gjøre operativsystemet mer sikkert, spesielt mot angrep fra skadelig programvare.
Hvis du løper Windows 11 eller en nyere versjon av Windows Server, Microsoft Defender-antiviruset som er en del av operativsystemet kan nå forhindre at passordene dine blir stjålet.
Den nye funksjonen har blitt introdusert via en Antimalware Scan Interface (ASR) regel, som er et sett med regler som brukes av Microsoft Defender for å skanne filer og blokkere skadelig programvare.
Regelen bruker maskinlæring for å identifisere ondsinnede prosesser som ikke trenger tilgang til LSA-funksjonene i Windows, men som prøver å få tilgang til dem likevel.
Hvordan LSASS fungerer
Local Security Authority Subsystem Service (LSASS) er en prosess i Windows som håndterer pålogginger og annet sikkerhetsrelaterte oppgaver, så når malware har tilgang til LSA-funksjoner, kan den stjele legitimasjon fra minnet eller andre metoder fra
Windows sikkerhetsfunksjoner.Microsofts Credential Guard autentiserer brukere som logger på en datamaskin, og beskytter systemet med sin Defender-komponent. Problemet med dette er at ikke alle miljøer vil ha Credential Guard aktivert, siden det ikke er kompatibelt med alle programmer.
Minnedumpfilen som opprettes når en angriper har brutt en brukers datamaskin kan inneholde brukerens passord og brukernavn. Denne filen er muliggjort ved bruk av Mimikatz, et spesialverktøy designet for dette formålet.
Angripere kan bruke en legitim prosess som eksisterer på operativsystemet for å få full tilgang til systemet og overføre minnedumper som inneholder legitimasjon til eksterne steder.
Defender vil ikke blokkere denne handlingen fordi prosessen er legitim og handlingen ikke er skadelig. Defender oppdager kun ondsinnet bruk av prosesser og kan ikke forhindre at de opprettes eller overføres.
Microsoft Defenders oppdateringer
Microsoft har løst dette sikkerhetsproblemet med introduksjonen av en ny sikkerhetsregel kalt Angrepsoverflatereduksjon (ASR).
Denne regelen vil forhindre programmer fra å åpne LSASS, og vil i sin tur også hindre dem i å lage minnedumpen. Det vil blokkere tilgang til LSASS selv om et program som har forhøyede rettigheter prøver å åpne prosessen.
Siden bare programmer med administratorrettigheter kan åpne LSASS, forhindrer denne blokken dem også i å få tilgang til andre beskyttede prosesser som kan kjøre på datamaskinen.
Regelen blokkerer også selve den beskyttede prosessen fra å åpne sitt eget bilde, noe som gjør det umulig å fange eller endre data i beskyttet minne.
Denne standardinnstillingen resulterer i at denne ASR-regelen aktiveres, mens alle andre regler knyttet til den forblir i standardtilstanden.
Fordeler og ulemper
Microsoft Defender bruker et deteksjonssystem som oppdager både kjent og ukjent skadelig programvare, men det er ikke idiotsikkert. Skadevareforfattere leter alltid etter nye måter å beskytte skadevare fra å bli oppdaget.
Hvis du derimot bruker tredjeparts antivirusprogramvare på datamaskinen din, er ASR-regelen utilgjengelig. Mangelen på ASR-regelen gjør det mulig for hackere å omgå Microsoft Defenders begrensning så vel som utelukkelsesbanene.
En rekke Windows-sikkerhetsforskere har allerede omgått ASR-regelen for Defender, og utnyttet ekskluderingsbanene for å få tilgang til Lsass.exe-filen.
Rapporten nevner at fordi Defender allerede har flere ekskluderinger på plass – for eksempel tillater den visse administrative brukere kan spørre og svare på ASR-forespørsler – dette lar hackere utnytte disse reglene mens de oppdager nye måter å målrette mot datamaskiner.
Dette betyr at bare brukere på Enterprise- og Pro-versjonene av Windows 11 vil være beskyttet av den forbedrede ASR-regelen.
Den nye ASR-regelen har imidlertid blitt ønsket velkommen av sikkerhetsforskere. Ettersom det gjør Windows litt sikrere, jo færre stjålne passord det er, jo bedre, ettersom alle vil dra nytte av det.
Den siste versjonen av Microsoft Defender, kjent som Microsoft Defender Preview, tilbyr et dashbord der du kan administrere sikkerheten til enhetene dine.
Er den nye Microsoft Defender-oppgraderingen lovende når det gjelder Windows-sikkerhet ifølge deg? Gi oss dine tanker i kommentarfeltet nedenfor.
