in

This is helpfullThis is helpfull

Microsoft – Δυσκολεύει την κλοπή κωδικών πρόσβασης σε Windows

Με τη λειτουργία «Attack Surface Reduction»

Η Microsoft ενεργοποιεί από προεπιλογή, τη λειτουργία «Attack Surface Reduction» του Microsoft Defender, για να εμποδίσει τις προσπάθειες των χάκερ να κλέψουν διαπιστευτήρια των Windows από τη διαδικασία LSASS.

Όταν οι κακόβουλοι χρήστες παραβιάζουν ένα δίκτυο, προσπαθούν να εξαπλωθούν πλευρικά σε άλλες συσκευές, κλέβοντας διαπιστευτήρια ή χρησιμοποιώντας εκμεταλλεύσεις.

Μία από τις πιο συνηθισμένες μεθόδους για την κλοπή των διαπιστευτηρίων στα Windows, είναι η απόκτηση δικαιωμάτων διαχειριστή σε μια παραβιασμένη συσκευή και στη συνέχεια, η εφαρμογή της πρακτικής dump memory στη διαδικασία Local Security Authority Server Service (LSASS) που εκτελείται στα Windows.

Αυτή η ένδειξη αποθήκευσης μνήμης, περιέχει κατακερματισμούς NTLM των διαπιστευτηρίων των Windows χρηστών που είχαν συνδεθεί στον υπολογιστή, τα οποία μπορούν να χρησιμοποιηθούν για κωδικούς πρόσβασης καθαρού κειμένου ή σε επιθέσεις Pass-the-Hash για σύνδεση σε άλλες συσκευές.

Ενώ το Microsoft Defender αποκλείει κακόβουλα προγράμματα, μια ένδειξη μνήμης LSASS μπορεί να μεταφερθεί σε έναν απομακρυσμένο υπολογιστή για την απόρριψη των διαπιστευτηρίων χωρίς φόβο ότι θα αποκλειστεί.

Για να αποτρέψει τους κακόβουλους χρήστες από το να κάνουν κατάχρηση της μνήμης LSASS, η Microsoft έχει εισάγει χαρακτηριστικά ασφαλείας που εμποδίζουν την πρόσβαση στη διαδικασία LSASS.

Ένα από αυτά τα χαρακτηριστικά ασφαλείας είναι το Credential Guard, το οποίο απομονώνει τη διαδικασία LSASS σε ένα εικονικό κοντέινερ που αποτρέπει την πρόσβαση άλλων διεργασιών.

Ωστόσο, αυτή η δυνατότητα μπορεί να οδηγήσει σε διενέξεις με προγράμματα drive ή εφαρμογές, με αποτέλεσμα ορισμένοι οργανισμοί να μην την ενεργοποιήσουν.

Ως τρόπος μετριασμού της κλοπής διαπιστευτηρίων των Windows χωρίς να προκληθούν οι διενέξεις που εισάγει το Credential Guard, η Microsoft θα ενεργοποιήσει σύντομα μία λειτουργία Microsoft Defender Attack Surface Reduction (ASR) από προεπιλογή.

Αυτή η λειτουργία αποτρέπει τις διεργασίες από το άνοιγμα της διαδικασίας LSASS και την απόρριψη της μνήμης του, ακόμα κι αν έχει δικαιώματα διαχειριστή.

Αυτή η νέα αλλαγή ανακαλύφθηκε αυτή την εβδομάδα από τον ερευνητή ασφαλείας Kostas, ο οποίος εντόπισε μια ενημέρωση στην τεκμηρίωση κανόνων ASR της Microsoft.

Καθώς οι κανόνες μείωσης επιφάνειας επίθεσης τείνουν να εισάγουν ψευδώς θετικά στοιχεία και πολύ θόρυβο στα αρχεία καταγραφής συμβάντων, η Microsoft στο παρελθόν δεν είχε ενεργοποιήσει τη δυνατότητα ασφαλείας από προεπιλογή.

Ωστόσο, η εταιρεία άρχισε πρόσφατα να επιλέγει την ασφάλεια σε βάρος της ευκολίας, καταργώντας κοινές λειτουργίες που χρησιμοποιούνται από διαχειριστές και χρήστες Windows που αυξάνουν τις επιφάνειες επιθέσεων.

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Xiaomi – Αυτές είναι οι συσκευές που αναβαθμίζονται με Android 13

Intel – Ίσως ετοιμάζει δική της gaming πλατφόρμα με το Project Endgame