- Microsoft กำลังเสริมความปลอดภัยของ Windows ด้วยการเพิ่มกฎที่สำคัญมากให้กับโปรแกรมป้องกันไวรัส
- Microsoft Defender เริ่มใช้กฎ ASR ใหม่ และออกแบบมาเพื่อป้องกันไม่ให้แอปที่เป็นอันตรายดึงรหัสผ่านที่ใช้บนพีซี
- การนำกฎ ASR ใหม่มาใช้เป็นส่วนหนึ่งของความพยายามของ Microsoft ในการทำให้ระบบปฏิบัติการมีความปลอดภัยมากขึ้น โดยเฉพาะกับการโจมตีของมัลแวร์
หากคุณกำลังวิ่ง Windows 11 หรือ Windows Server เวอร์ชันล่าสุด โปรแกรมป้องกันไวรัสของ Microsoft Defender ซึ่งเป็นส่วนหนึ่งของระบบปฏิบัติการสามารถป้องกันรหัสผ่านของคุณจากการถูกขโมยได้
คุณลักษณะใหม่นี้ได้รับการแนะนำผ่านกฎ Antimalware Scan Interface (ASR) ซึ่งเป็นชุดของกฎที่ Microsoft Defender ใช้เพื่อสแกนไฟล์และบล็อกมัลแวร์
กฎนี้ใช้การเรียนรู้ของเครื่องเพื่อระบุกระบวนการที่เป็นอันตรายซึ่งไม่จำเป็นต้องเข้าถึงฟังก์ชัน LSA ใน Windows แต่กำลังพยายามเข้าถึงอยู่
LSASS ทำงานอย่างไร
บริการระบบย่อย Local Security Authority (LSASS) เป็นกระบวนการใน Windows ที่จัดการการเข้าสู่ระบบและอื่น ๆ งานที่เกี่ยวข้องกับความปลอดภัย ดังนั้นเมื่อมัลแวร์เข้าถึงฟังก์ชัน LSA ก็สามารถขโมยข้อมูลรับรองจากหน่วยความจำหรืออื่นๆ ได้ วิธีการจาก คุณสมบัติความปลอดภัยของ Windows.
Credential Guard ของ Microsoft จะตรวจสอบสิทธิ์ผู้ใช้ที่เข้าสู่ระบบคอมพิวเตอร์ ปกป้องระบบด้วยองค์ประกอบ Defender ปัญหาคือไม่ใช่ว่าทุกสภาพแวดล้อมจะเปิดใช้งาน Credential Guard เนื่องจากไม่สามารถทำงานร่วมกับทุกโปรแกรมได้
ไฟล์ดัมพ์หน่วยความจำที่สร้างขึ้นเมื่อผู้โจมตีละเมิดคอมพิวเตอร์ของผู้ใช้สามารถมีรหัสผ่านและชื่อผู้ใช้ของผู้ใช้ได้ ไฟล์นี้เกิดขึ้นได้ด้วยการใช้ Mimikatz ซึ่งเป็นเครื่องมือพิเศษที่ออกแบบมาเพื่อจุดประสงค์นี้
ผู้โจมตีสามารถใช้กระบวนการที่ถูกต้องตามกฎหมายที่มีอยู่ในระบบปฏิบัติการเพื่อเข้าถึงระบบอย่างเต็มรูปแบบ และส่งการถ่ายโอนข้อมูลหน่วยความจำที่มีข้อมูลประจำตัวไปยังตำแหน่งระยะไกล
ผู้พิทักษ์จะไม่บล็อกการกระทำนี้เนื่องจากกระบวนการถูกต้องตามกฎหมายและการกระทำนั้นไม่เป็นอันตราย Defender ตรวจพบเฉพาะการใช้กระบวนการที่เป็นอันตรายและไม่สามารถป้องกันการสร้างหรือการส่งผ่านได้
การอัปเดตของ Microsoft Defender
Microsoft ได้แก้ไขปัญหาด้านความปลอดภัยนี้ด้วยการแนะนำกฎความปลอดภัยใหม่ที่เรียกว่า ลดพื้นผิวการโจมตี (เอเอสอาร์).
กฎนี้จะป้องกันไม่ให้โปรแกรมเปิด LSASS และจะป้องกันไม่ให้โปรแกรมสร้างการถ่ายโอนข้อมูลหน่วยความจำ มันจะบล็อกการเข้าถึง LSASS แม้ว่าโปรแกรมที่มีสิทธิ์ยกระดับพยายามเปิดกระบวนการ
เนื่องจากมีเพียงโปรแกรมที่มีสิทธิ์ของผู้ดูแลระบบเท่านั้นที่สามารถเปิด LSASS บล็อกนี้จึงป้องกันไม่ให้เข้าถึงกระบวนการที่ได้รับการป้องกันอื่นๆ ที่อาจกำลังทำงานอยู่ในคอมพิวเตอร์
กฎดังกล่าวยังบล็อกกระบวนการที่ได้รับการป้องกันจากการเปิดภาพของตัวเอง ทำให้ไม่สามารถจับภาพหรือแก้ไขข้อมูลในหน่วยความจำที่ได้รับการป้องกันได้
การตั้งค่าเริ่มต้นนี้ส่งผลให้กฎ ASR นี้ถูกเปิดใช้งาน ในขณะที่กฎอื่นๆ ทั้งหมดที่เกี่ยวข้องจะยังคงอยู่ในสถานะเริ่มต้น
ข้อดีและข้อเสีย
Microsoft Defender ใช้ระบบตรวจจับที่ตรวจจับมัลแวร์ทั้งที่รู้จักและไม่รู้จัก แต่ก็ไม่สามารถป้องกันได้ ผู้เขียนมัลแวร์มักจะค้นหาวิธีใหม่ๆ ในการป้องกันมัลแวร์จากการถูกตรวจพบอยู่เสมอ
อย่างไรก็ตาม หากคุณใช้ซอฟต์แวร์ป้องกันไวรัสของบริษัทอื่นบนคอมพิวเตอร์ของคุณ กฎ ASR จะไม่สามารถใช้งานได้ การขาดกฎ ASR ทำให้แฮกเกอร์สามารถเลี่ยงการจำกัดของ Microsoft Defender รวมถึงเส้นทางการยกเว้นได้
จำนวนของ นักวิจัยด้านความปลอดภัยของ Windows ได้ข้ามกฎ ASR สำหรับ Defender แล้ว โดยใช้ประโยชน์จากเส้นทางการยกเว้นเพื่อเข้าถึงไฟล์ Lsass.exe
รายงานระบุว่าเนื่องจาก Defender มีการยกเว้นหลายรายการอยู่แล้ว—ตัวอย่างเช่น อนุญาตให้มีการดูแลระบบบางอย่าง ให้ผู้ใช้ถามและตอบสนองต่อคำขอ ASR ซึ่งช่วยให้แฮกเกอร์สามารถใช้ประโยชน์จากกฎเหล่านั้นได้ในขณะที่พวกเขาค้นพบวิธีใหม่ๆ ในการกำหนดเป้าหมาย คอมพิวเตอร์
ซึ่งหมายความว่าเฉพาะผู้ใช้ใน Windows 11 รุ่น Enterprise และ Pro เท่านั้นที่จะได้รับการคุ้มครองโดยกฎ ASR ที่ปรับปรุงแล้ว
อย่างไรก็ตาม กฎ ASR ใหม่ได้รับการต้อนรับจากนักวิจัยด้านความปลอดภัย เนื่องจากทำให้ Windows มีความปลอดภัยมากขึ้น รหัสผ่านที่ถูกขโมยยิ่งมีน้อยลง ยิ่งดี เพราะทุกคนจะได้ประโยชน์จากรหัสผ่านนั้น
รุ่นล่าสุดของ Microsoft Defenderหรือที่เรียกว่า Microsoft Defender Preview มีแดชบอร์ดที่คุณสามารถจัดการความปลอดภัยของอุปกรณ์ของคุณได้
การอัพเกรด Microsoft Defender ใหม่มีแนวโน้มในแง่ของความปลอดภัยของ windows ตามคุณหรือไม่? แสดงความคิดเห็นของคุณในส่วนความคิดเห็นด้านล่าง
