- Microsoft întărește securitatea Windows adăugând o regulă foarte importantă antivirusului său.
- O nouă regulă ASR este introdusă în Microsoft Defender și este concepută pentru a împiedica aplicațiile rău intenționate să extragă parolele utilizate pe computer.
- Introducerea noii reguli ASR face parte din eforturile Microsoft de a-și face sistemul de operare mai sigur, în special împotriva atacurilor malware.
Dacă alergi Windows 11 sau o versiune recentă a Windows Server, antivirusul Microsoft Defender care face parte din sistemul de operare poate împiedica acum furarea parolelor.
Noua caracteristică a fost introdusă printr-o regulă ASR (Antimalware Scan Interface), care este un set de reguli utilizate de Microsoft Defender pentru a scana fișiere și a bloca programele malware.
Regula folosește învățarea automată pentru a identifica procesele rău intenționate care nu au nevoie de acces la funcțiile LSA din Windows, dar încearcă să le acceseze oricum.
Cum funcționează LSASS
Serviciul de subsistem al autorității locale de securitate (LSASS) este un proces din Windows care se ocupă de autentificări și altele sarcini legate de securitate, astfel încât, odată ce malware-ul are acces la funcțiile LSA, poate fura acreditările din memorie sau din alte metode de la
Caracteristici de securitate Windows.Credential Guard de la Microsoft autentifică utilizatorii care se conectează la un computer, protejând sistemul cu componenta Defender. Problema cu aceasta este că nu toate mediile vor avea Credential Guard activat, deoarece nu este compatibil cu toate programele.
Fișierul de descărcare a memoriei care este creat atunci când un atacator a încălcat computerul unui utilizator poate conține parola și numele utilizatorului. Acest fișier este posibil prin utilizarea Mimikatz, un instrument special conceput în acest scop.
Atacatorii pot folosi un proces legitim care există pe sistemul de operare pentru a obține acces deplin la sistem și pentru a transmite depozite de memorie care conțin acreditări către locații la distanță.
Defender nu va bloca această acțiune deoarece procesul este legitim și acțiunea nu este dăunătoare. Defender detectează doar utilizarea rău intenționată a proceselor și nu poate împiedica crearea sau transmiterea acestora.
Actualizările Microsoft Defender
Microsoft a abordat această problemă de securitate prin introducerea unei noi reguli de securitate numite Reducerea suprafeței de atac (ASR).
Această regulă va împiedica programele să deschidă LSASS și, la rândul său, le va împiedica să creeze memoria dump. Acesta va bloca accesul la LSASS chiar dacă un program care are drepturi ridicate încearcă să deschidă procesul.
Deoarece numai programele cu privilegii de administrator pot deschide LSASS, acest bloc le împiedică, de asemenea, să acceseze alte procese protejate care ar putea rula pe computer.
De asemenea, regula blochează procesul protejat în sine să își deschidă propria imagine, făcând imposibilă capturarea sau modificarea datelor din memoria protejată.
Această setare implicită are ca rezultat activarea acestei reguli ASR, în timp ce toate celelalte reguli legate de aceasta rămân în starea lor implicită.
Avantaje și dezavantaje
Microsoft Defender folosește un sistem de detectare care detectează atât programele malware cunoscute, cât și necunoscute, dar nu este sigur. Scriitorii de programe malware caută mereu noi modalități de a-și proteja malware-ul împotriva detectării.
Dacă, totuși, utilizați software antivirus terță parte pe computer, regula ASR nu este disponibilă. Lipsa regulii ASR le permite hackerilor să ocolească restricția Microsoft Defender, precum și căile sale de excludere.
Un numar de Cercetători în securitate Windows au ocolit deja regula ASR pentru Defender, exploatând căile sale de excludere pentru a obține acces la fișierul Lsass.exe.
Raportul menționează că, deoarece Defender are deja mai multe excluderi în vigoare — de exemplu, permite anumite aspecte administrative utilizatorii să solicite și să răspundă la solicitările ASR - acest lucru le permite hackerilor să exploateze aceste reguli în timp ce descoperă noi modalități de a viza calculatoare.
Aceasta înseamnă că numai utilizatorii din versiunile Enterprise și Pro ale Windows 11 vor fi protejați de regula ASR îmbunătățită.
Cu toate acestea, noua regulă ASR a fost salutată de cercetătorii de securitate. Pe măsură ce face Windows un pic mai sigur, cu cât sunt mai puține parole furate, cu atât mai bine, deoarece toată lumea va beneficia de asta.
Cea mai recentă versiune a Microsoft Defender, cunoscut sub numele de Microsoft Defender Preview, oferă un tablou de bord în care puteți gestiona securitatea dispozitivelor dvs.
Potrivit dvs., noul upgrade Microsoft Defender este promițător în ceea ce privește securitatea Windows? Spune-ne gândurile tale în secțiunea de comentarii de mai jos.
