- Microsoft wzmacnia bezpieczeństwo systemu Windows, dodając bardzo ważną regułę do swojego programu antywirusowego.
- Do programu Microsoft Defender wprowadzana jest nowa reguła ASR, która ma na celu uniemożliwienie złośliwym aplikacjom wydobywania haseł używanych na komputerze.
- Wprowadzenie nowej reguły ASR jest częścią wysiłków Microsoftu zmierzających do zwiększenia bezpieczeństwa swojego systemu operacyjnego, zwłaszcza przed atakami złośliwego oprogramowania.
Jeśli biegasz Okna 11 lub najnowszą wersję systemu Windows Server, program antywirusowy Microsoft Defender, który jest częścią systemu operacyjnego, może teraz zapobiegać kradzieży haseł.
Nowa funkcja została wprowadzona poprzez regułę interfejsu skanowania antymalware (ASR), która jest zestawem reguł używanych przez Microsoft Defender do skanowania plików i blokowania złośliwego oprogramowania.
Reguła wykorzystuje uczenie maszynowe do identyfikowania złośliwych procesów, które nie potrzebują dostępu do funkcji LSA w systemie Windows, ale mimo to próbują uzyskać do nich dostęp.
Jak działa LSASS
Usługa podsystemu lokalnego organu bezpieczeństwa (LSASS) to proces w systemie Windows, który obsługuje logowanie i inne zadania związane z bezpieczeństwem, więc gdy złośliwe oprogramowanie uzyska dostęp do funkcji LSA, może wykraść dane uwierzytelniające z pamięci lub innych metody z Funkcje bezpieczeństwa systemu Windows.
Credential Guard firmy Microsoft uwierzytelnia użytkowników logujących się do komputera, chroniąc system za pomocą komponentu Defender. Problem polega na tym, że nie wszystkie środowiska będą miały włączoną funkcję Credential Guard, ponieważ nie jest ona zgodna ze wszystkimi programami.
Plik zrzutu pamięci, który jest tworzony, gdy atakujący włamał się do komputera użytkownika, może zawierać hasło i nazwę użytkownika. Plik ten jest możliwy dzięki specjalnemu narzędziu stworzonemu do tego celu Mimikatz.
Atakujący mogą użyć legalnego procesu istniejącego w systemie operacyjnym, aby uzyskać pełny dostęp do systemu i przesłać zrzuty pamięci zawierające poświadczenia do zdalnych lokalizacji.
Defender nie zablokuje tej akcji, ponieważ proces jest legalny, a akcja nie jest szkodliwa. Defender wykrywa jedynie złośliwe użycie procesów i nie może zapobiec ich tworzeniu lub przesyłaniu.
Aktualizacje Microsoft Defender
Firma Microsoft rozwiązała ten problem z zabezpieczeniami, wprowadzając nową regułę zabezpieczeń o nazwie Redukcja powierzchni ataku (ASR).
Ta reguła uniemożliwi programom otwieranie LSASS, a co za tym idzie, również uniemożliwi im tworzenie zrzutu pamięci. Zablokuje dostęp do LSASS, nawet jeśli program z podwyższonymi uprawnieniami spróbuje otworzyć proces.
Ponieważ tylko programy z uprawnieniami administratora mogą otwierać LSASS, ta blokada uniemożliwia im również dostęp do innych chronionych procesów, które mogą być uruchomione na komputerze.
Reguła blokuje również sam chroniony proces przed otwarciem własnego obrazu, uniemożliwiając przechwycenie lub modyfikację danych w chronionej pamięci.
To ustawienie domyślne powoduje włączenie tej reguły ASR, podczas gdy wszystkie inne reguły z nią związane pozostają w stanie domyślnym.
Zalety i wady
Microsoft Defender korzysta z systemu wykrywania, który wykrywa zarówno znane, jak i nieznane złośliwe oprogramowanie, ale nie jest niezawodny. Twórcy złośliwego oprogramowania zawsze szukają nowych sposobów ochrony swojego złośliwego oprogramowania przed wykryciem.
Jeśli jednak używasz na swoim komputerze oprogramowania antywirusowego innej firmy, reguła ASR jest niedostępna. Brak reguły ASR umożliwia hakerom ominięcie ograniczenia Microsoft Defender, a także jego ścieżek wykluczenia.
Liczba z Badacze bezpieczeństwa Windows ominęli już regułę ASR dla usługi Defender, wykorzystując jej ścieżki wykluczeń w celu uzyskania dostępu do pliku Lsass.exe.
Raport wspomina, że ponieważ Defender ma już wiele wyjątków — na przykład zezwala na pewne czynności administracyjne użytkownicy mogą zadawać pytania i odpowiadać na żądania ASR — to pozwala hakerom na wykorzystanie tych reguł podczas odkrywania nowych sposobów na celowanie komputery.
Oznacza to, że tylko użytkownicy w wersjach Enterprise i Pro systemu Windows 11 będą chronieni przez ulepszoną regułę ASR.
Jednak nowa reguła ASR została przyjęta przez badaczy bezpieczeństwa. Ponieważ sprawia, że system Windows jest trochę bezpieczniejszy, im mniej jest skradzionych haseł, tym lepiej, ponieważ wszyscy na tym skorzystają.
Najnowsza wersja Microsoft Defender, znany jako Microsoft Defender Preview, oferuje pulpit nawigacyjny, na którym możesz zarządzać bezpieczeństwem swoich urządzeń.
Czy według Ciebie nowa aktualizacja Microsoft Defender jest obiecująca pod względem bezpieczeństwa systemu Windows? Przekaż nam swoje przemyślenia w sekcji komentarzy poniżej.
