Microsoft je v otázke hesiel múdrejší

Ak bežíte Windows 11 alebo najnovšia verzia systému Windows Server, antivírus Microsoft Defender, ktorý je súčasťou operačného systému, teraz môže zabrániť odcudzeniu vašich hesiel.

Nová funkcia bola zavedená prostredníctvom pravidla Antimalware Scan Interface (ASR), čo je súbor pravidiel používaných programom Microsoft Defender na kontrolu súborov a blokovanie škodlivého softvéru.

Toto pravidlo používa strojové učenie na identifikáciu škodlivých procesov, ktoré nepotrebujú prístup k funkciám LSA v systéme Windows, ale napriek tomu sa k nim pokúšajú pristupovať.

Ako funguje LSASS

Služba subsystému lokálneho bezpečnostného úradu (LSASS) je proces v systéme Windows, ktorý sa stará o prihlásenie a iné úlohy súvisiace s bezpečnosťou, takže keď malvér získa prístup k funkciám LSA, môže ukradnúť poverenia z pamäte alebo iných metódy z

Funkcie zabezpečenia systému Windows.

Microsoft Credential Guard overuje používateľov prihlasujúcich sa do počítača a chráni systém pomocou komponentu Defender. Problém je v tom, že nie všetky prostredia budú mať povolenú ochranu Credential Guard, pretože nie je kompatibilná so všetkými programami.

Súbor výpisu pamäte, ktorý sa vytvorí, keď útočník prelomí počítač používateľa, môže obsahovať heslo používateľa a meno používateľa. Tento pilník je možný s použitím Mimikatz, špeciálneho nástroja určeného na tento účel.

Útočníci môžu použiť legitímny proces, ktorý existuje v operačnom systéme, aby získali úplný prístup k systému a preniesli výpisy pamäte obsahujúce poverenia na vzdialené miesta.

Ochranca túto akciu nezablokuje, pretože proces je legitímny a akcia nie je škodlivá. Defender detekuje iba škodlivé použitie procesov a nedokáže zabrániť ich vytvoreniu alebo prenosu.

Aktualizácie programu Microsoft Defender

Microsoft tento bezpečnostný problém vyriešil zavedením nového bezpečnostného pravidla tzv Redukcia útočného povrchu (ASR).

Toto pravidlo zabráni programom otvoriť LSASS a následne im zabráni aj vo vytváraní výpisu pamäte. Zablokuje prístup k LSASS, aj keď sa program so zvýšenými právami pokúsi otvoriť proces.

Keďže LSASS môžu otvárať iba programy s oprávneniami správcu, tento blok im tiež bráni v prístupe k iným chráneným procesom, ktoré môžu byť spustené na počítači.

Pravidlo tiež blokuje samotný chránený proces, aby otvoril svoj vlastný obrázok, čo znemožňuje zachytiť alebo upraviť údaje v chránenej pamäti.

Toto predvolené nastavenie spôsobí, že toto pravidlo ASR je povolené, zatiaľ čo všetky ostatné pravidlá s ním súvisiace zostanú vo svojom predvolenom stave.

Výhody a nevýhody

Microsoft Defender používa detekčný systém, ktorý deteguje známy aj neznámy malvér, no nie je spoľahlivý. Autori malvéru stále hľadajú nové spôsoby, ako chrániť svoj malvér pred odhalením.

Ak však v počítači používate antivírusový softvér tretej strany, pravidlo ASR nie je k dispozícii. Neprítomnosť pravidla ASR umožňuje hackerom obísť obmedzenia programu Microsoft Defender, ako aj jeho cesty vylúčenia.

Počet Výskumníci v oblasti bezpečnosti systému Windows už obišli pravidlo ASR pre Defender a využili jeho cesty vylúčenia na získanie prístupu k súboru Lsass.exe.

V správe sa uvádza, že pretože Defender už má zavedené viaceré vylúčenia – napríklad umožňuje určité administratívne opatrenia aby používatelia žiadali a odpovedali na požiadavky ASR – to umožňuje hackerom zneužiť tieto pravidlá, kým objavia nové spôsoby zacielenia počítačov.

To znamená, že iba používatelia vo verziách Enterprise a Pro Windows 11 budú chránení vylepšeným pravidlom ASR.

Nové pravidlo ASR však výskumníci v oblasti bezpečnosti privítali. Keďže vďaka tomu je systém Windows o niečo bezpečnejší, čím menej ukradnutých hesiel bude, tým lepšie, pretože z toho budú mať prospech všetci.

Najnovšia verzia Microsoft Defender, známy ako Microsoft Defender Preview, ponúka dashboard, kde môžete spravovať zabezpečenie svojich zariadení.

Je podľa vás nová inovácia obrancu Microsoftu sľubná z hľadiska zabezpečenia systému Windows? Dajte nám svoje myšlienky v sekcii komentárov nižšie.