- Microsoft посилює безпеку Windows, додаючи дуже важливе правило до свого антивірусу.
- У Microsoft Defender вводиться нове правило ASR, яке призначене для запобігання вилучення паролів зловмисних програм, які використовуються на ПК.
- Запровадження нового правила ASR є частиною зусиль Microsoft, щоб зробити свою операційну систему більш безпечною, особливо від атак зловмисного програмного забезпечення.
Якщо ти бігаєш Windows 11 або остання версія Windows Server, антивірус Microsoft Defender, який є частиною операційної системи, тепер може запобігти крадіжці ваших паролів.
Нова функція була представлена за допомогою правила інтерфейсу сканування зловмисного програмного забезпечення (ASR), яке являє собою набір правил, які використовує Microsoft Defender для сканування файлів і блокування шкідливих програм.
Правило використовує машинне навчання для визначення шкідливих процесів, які не потребують доступу до функцій LSA в Windows, але все одно намагаються отримати до них доступ.
Як працює LSASS
Служба підсистеми локального центру безпеки (LSASS) — це процес у Windows, який обробляє вхід та інше завдання, пов’язані з безпекою, тому, як тільки зловмисне програмне забезпечення має доступ до функцій LSA, воно може вкрасти облікові дані з пам’яті чи інших методи від Функції безпеки Windows.
Credential Guard від Microsoft автентифікує користувачів, які входять на комп’ютер, захищаючи систему за допомогою компонента Defender. Проблема полягає в тому, що не у всіх середовищах буде ввімкнено Credential Guard, оскільки воно не сумісне з усіма програмами.
Файл дампа пам’яті, який створюється, коли зловмисник зламав комп’ютер користувача, може містити пароль та ім’я користувача. Цей файл став можливим завдяки використанню Mimikatz, спеціального інструменту, призначеного для цієї мети.
Зловмисники можуть використовувати законний процес, який існує в операційній системі, щоб отримати повний доступ до системи та передати дамп пам’яті, що містить облікові дані, у віддалені місця.
Захисник не блокуватиме цю дію, оскільки процес є законним і не є шкідливим. Захисник виявляє лише зловмисне використання процесів і не може запобігти їх створенню чи передачі.
Оновлення Microsoft Defender
Корпорація Майкрософт вирішила цю проблему безпеки, запровадивши нове правило безпеки під назвою Зменшення поверхні атаки (ASR).
Це правило не дозволить програмам відкривати LSASS і, у свою чергу, також не дозволить їм створити дамп пам’яті. Він заблокує доступ до LSASS, навіть якщо програма з підвищеними правами спробує відкрити процес.
Оскільки лише програми з правами адміністратора можуть відкривати LSASS, цей блок також перешкоджає їм отримати доступ до інших захищених процесів, які можуть бути запущені на комп’ютері.
Правило також блокує захищений процес від відкриття власного образу, унеможливлюючи захоплення чи зміну даних у захищеній пам’яті.
Це налаштування за замовчуванням призводить до ввімкнення цього правила ASR, тоді як усі інші пов’язані з ним правила залишаються в стані за замовчуванням.
Переваги та недоліки
Microsoft Defender використовує систему виявлення, яка виявляє як відомі, так і невідомі шкідливі програми, але вона не є надійною. Автори шкідливого програмного забезпечення завжди шукають нові способи захистити своє шкідливе програмне забезпечення від виявлення.
Однак якщо ви використовуєте на своєму комп’ютері антивірусне програмне забезпечення сторонніх виробників, правило ASR недоступне. Відсутність правила ASR дозволяє хакерам обійти обмеження Microsoft Defender, а також його шляхи виключення.
Деяка кількість Дослідники безпеки Windows вже обійшли правило ASR для Defender, використовуючи його шляхи виключення, щоб отримати доступ до файлу Lsass.exe.
У звіті згадується, що оскільки Defender вже має кілька виключень, наприклад, він дозволяє певні адміністративні користувачам запитувати та відповідати на запити ASR — це дозволяє хакерам використовувати ці правила, відкриваючи нові способи націлювання комп'ютери.
Це означає, що лише користувачі у версіях Windows 11 Enterprise і Pro будуть захищені покращеним правилом ASR.
Проте нове правило ASR було схвалено дослідниками безпеки. Оскільки це робить Windows трохи безпечнішою, чим менше вкрадених паролів, тим краще, оскільки від цього виграють усі.
Остання версія о Microsoft Defender, відомий як Microsoft Defender Preview, пропонує інформаційну панель, на якій ви можете керувати безпекою своїх пристроїв.
Чи є, на вашу думку, нове оновлення захисника Microsoft перспективним з точки зору безпеки Windows? Дайте нам свої думки в розділі коментарів нижче.