Microsoft Defender migliora nel prevenire il furto delle password di Windows
Microsoft sta rafforzando la sicurezza di Windows aggiungendo una regola molto importante al suo antivirus. Una nuova regola ASR viene introdotta in Microsoft Defender.
Prima di entrare nel merito, parliamo di un metodo che gli hacker possono utilizzare per rubare la password di Windows di un utente.
Cos’è LSASS?
Potresti aver notato LSASS.exe nel tuo Task Manager, è correlato a un processo chiamato Local Authority Server Service. LSASS autentica gli utenti che accedono a un computer ed è protetto da Credential Guard di Microsoft Defender. Il problema è che Credential Guard non è compatibile con tutti i programmi, ad esempio i driver di smartcard personalizzati. Quindi, non è implementato in tutti gli ambienti.
Quando un utente malintenzionato ha violato il computer di un utente, può facilmente accedere al processo LSASS tramite strumenti speciali come Mimikatz. Il file risultante creato dallo strumento è un dump della memoria che contiene le password e i nomi utente degli utenti che hanno effettuato l’accesso al sistema.
Le password vengono visualizzate in chiaro, consentendo così all’attaccante di ottenere l’accesso completo al sistema operativo. E tutto questo può essere fatto in remoto e Microsoft Defender non ne bloccherà l’accesso perché LSASS è un processo legittimo e il suo dump della memoria non è dannoso. Può rilevare solo i programmi che accedono in modo dannoso al processo, ma non può impedire la creazione del dump della memoria o la trasmissione per rubare le credenziali dell’utente.
È abbastanza spaventoso, vero?
Microsoft Defender ottiene una regola di riduzione della superficie di attacco
La soluzione a questo problema di sicurezza è abbastanza semplice, proteggere LSASS da accessi non autorizzati e tutto questo pasticcio può essere evitato, giusto? Questo è esattamente ciò che sta facendo l’azienda di Redmond, aggiungendo una nuova regola chiamata Attack Surface Reduction (ASR). Questa regola bloccherà ai programmi l’apertura di LSASS e, a sua volta, impedirà loro di creare il dump della memoria. Bloccherà l’accesso a LSASS anche se un programma che ha diritti elevati, cioè privilegi di amministratore, tenta di aprire il processo.
Migliora, secondo la documentazione di Microsoft , questa regola ASR sarà abilitata per impostazione predefinita, mentre tutte le altre regole ad essa correlate rimarranno nel loro stato predefinito “Non configurato”.
L’ASR è una buona soluzione? Bene, se sei Microsoft Defender, questo sembra promettente. Tuttavia, non è completamente infallibile, ma cos’è. Dobbiamo ricordare che anche i malware si stanno evolvendo e diventano complessi anno dopo anno.
Se invece stai utilizzando un antivirus di terze parti sul tuo computer, la regola ASR è disabilitata. Quindi, questo rende di nuovo vulnerabile l’LSASS. Bleeping Computer segnala che la regola ASR è già stata aggirata da alcuni ricercatori di sicurezza, che hanno sfruttato i percorsi di esclusione di Microsoft Defender. Le esclusioni si applicano a tutte le regole ASR e, poiché questo accesso LSASS rientra nella stessa categoria, consente agli hacker di aggirare le restrizioni. Il rapporto afferma che gli utenti che eseguono Windows Enterprise, Windows 10 Pro e Windows 11 Pro saranno protetti dalla nuova regola ASR.
Detto questo, la nuova regola ASR è stata accolta favorevolmente dai ricercatori di sicurezza, in quanto rende Windows un po’ più sicuro ed è sempre gradito in quanto si tradurrà in un minor numero di password rubate.
In una nota a margine, Microsoft Defender Preview è un nuovo dashboard che ti consente di gestire la sicurezza dei tuoi dispositivi.
