- Microsoft stärker Windows säkerhet genom att lägga till en mycket viktig regel till sitt antivirusprogram.
- En ny ASR-regel introduceras till Microsoft Defender, och den är utformad för att förhindra skadliga appar från att extrahera lösenord som används på datorn.
- Införandet av den nya ASR-regeln är en del av Microsofts ansträngningar att göra sitt operativsystem säkrare, särskilt mot skadliga attacker.
Om du springer Windows 11 eller en ny version av Windows Server, Microsoft Defender-antiviruset som är en del av operativsystemet kan nu förhindra att dina lösenord stjäls.
Den nya funktionen har introducerats via en Antimalware Scan Interface (ASR) regel, som är en uppsättning regler som används av Microsoft Defender för att skanna filer och blockera skadlig programvara.
Regeln använder maskininlärning för att identifiera skadliga processer som inte behöver tillgång till LSA-funktionerna i Windows men som ändå försöker komma åt dem.
Hur LSASS fungerar
Local Security Authority Subsystem Service (LSASS) är en process i Windows som hanterar inloggningar och annat säkerhetsrelaterade uppgifter, så när skadlig programvara har tillgång till LSA-funktioner kan den stjäla referenser från minnet eller annat metoder från
Windows säkerhetsfunktioner.Microsofts Credential Guard autentiserar användare som loggar in på en dator och skyddar systemet med dess Defender-komponent. Problemet med detta är att inte alla miljöer kommer att ha Credential Guard aktiverat, eftersom det inte är kompatibelt med alla program.
Minnesdumpfilen som skapas när en angripare har gjort intrång i en användares dator kan innehålla användarens lösenord och användarnamn. Denna fil är möjlig med hjälp av Mimikatz, ett specialverktyg utformat för detta ändamål.
Angripare kan använda en legitim process som finns på operativsystemet för att få full åtkomst till systemet och överföra minnesdumpar som innehåller referenser till avlägsna platser.
Defender kommer inte att blockera denna åtgärd eftersom processen är legitim och åtgärden inte är skadlig. Defender upptäcker bara skadlig användning av processer och kan inte förhindra att de skapas eller överförs.
Microsoft Defenders uppdateringar
Microsoft har åtgärdat detta säkerhetsproblem med introduktionen av en ny säkerhetsregel kallad Attack Ytreduktion (ASR).
Den här regeln förhindrar program från att öppna LSASS, och i sin tur förhindrar den också dem från att skapa minnesdumpen. Det kommer att blockera åtkomst till LSASS även om ett program som har förhöjda rättigheter försöker öppna processen.
Eftersom endast program med administratörsbehörighet kan öppna LSASS, hindrar detta block också dem från att komma åt andra skyddade processer som kan köras på datorn.
Regeln blockerar också den skyddade processen från att öppna sin egen bild, vilket gör det omöjligt att fånga eller ändra data i skyddat minne.
Denna standardinställning resulterar i att den här ASR-regeln aktiveras, medan alla andra regler som är relaterade till den förblir i standardtillståndet.
Fördelar och nackdelar
Microsoft Defender använder ett detekteringssystem som upptäcker både känd och okänd skadlig programvara, men det är inte idiotsäkert. Skadlig programvara söker alltid efter nya sätt att skydda sin skadliga programvara från att upptäckas.
Om du däremot använder antivirusprogram från tredje part på din dator är ASR-regeln inte tillgänglig. Avsaknaden av ASR-regeln gör det möjligt för hackare att kringgå Microsoft Defenders begränsning såväl som dess uteslutningsvägar.
Ett antal Windows säkerhetsforskare har redan kringgått ASR-regeln för Defender och utnyttjar dess uteslutningsvägar för att få tillgång till filen Lsass.exe.
Rapporten nämner att eftersom Defender redan har flera undantag på plats – till exempel tillåter det vissa administrativa användare att fråga och svara på ASR-förfrågningar – detta gör att hackare kan utnyttja dessa regler samtidigt som de upptäcker nya sätt att rikta in sig på datorer.
Detta innebär att endast användare på Enterprise- och Pro-versionerna av Windows 11 kommer att skyddas av den förbättrade ASR-regeln.
Den nya ASR-regeln har dock välkomnats av säkerhetsforskare. Eftersom det gör Windows lite säkrare, ju färre stulna lösenord det finns, desto bättre, eftersom alla kommer att dra nytta av det.
Den senaste versionen av Microsoft Defender, känd som Microsoft Defender Preview, erbjuder en instrumentpanel där du kan hantera säkerheten för dina enheter.
Är den nya Microsoft Defender-uppgraderingen lovande vad gäller Windows-säkerhet enligt dig? Ge oss dina tankar i kommentarsfältet nedan.
