Para evitar que los piratas informáticos roben las credenciales de Windows en el proceso LSASS, Microsoft ahora ha habilitado una función de seguridad en Microsoft Defender.
La reducción de la superficie de ataque evitará que incluso los piratas informáticos de nivel de administrador accedan al proceso LSASS y descarguen las credenciales. Esta característica ha estado en Defender durante mucho tiempo, pero estaba inactiva. Y ahora está activado ya que Microsoft prioriza la seguridad.
Bloqueo de acceso a Windows LSASS
Al comprometer un sistema de destino, los piratas informáticos intentan moverse lateralmente a través de la red para victimizar a más máquinas. Y esto sucede ya sea robando las credenciales de esos sistemas o explotando cualquier falla en ellos. Y si el hacker elige el primero, ocurre principalmente mediante el vertido de credenciales a través de hash NTLM.
NTLM, a cambio, es parte del proceso del Servicio del servidor de la autoridad de seguridad local (LSASS), un trabajo crítico en Windows. Los piratas informáticos que intenten robar las credenciales de Windows del proceso LSASS descargarán su memoria, que contiene hashes NTLM de las credenciales de Windows.
Estos hashes se pueden usar por fuerza bruta para revelar las contraseñas de texto claro, lo que permite que los piratas informáticos los usen para acceder a otros sistemas. Como resultado, Microsoft presentó Guardia de credenciales anteriormente, aislando el proceso LSASS en un contenedor virtualizado para evitar que otros procesos accedan a él.
Sin embargo, esto a menudo interfiere con los controladores o las aplicaciones, provocando conflictos y obligando a las empresas a no utilizarlo. Por lo tanto, a Microsoft se le ocurrió una solución: habilitar la regla de reducción de la superficie de ataque (ASR) de Microsoft Defender de forma predeterminada.
Cambios frescos! que esta pasando en #Microsoft, ¿se despertó la bestia y subió la seguridad a la lista de prioridades para este mes? 😅
¡La regla ASR estará en estado “configurado” de manera predeterminada para bloquear el robo de credenciales de LSASS! 😲🥳https://t.co/bQs3RDFRR6 pic.twitter.com/ubFtlsA3jY
— Kostas (@Kostastsale) 9 de febrero de 2022
Como fue visto por Kostas, un investigador de seguridad en la documentación de reglas ASR de Microsoft. y la empresa más tarde escribió como;
“El estado predeterminado para la regla de reducción de la superficie de ataque (ASR) “Bloquear el robo de credenciales del subsistema de autoridad de seguridad local de Windows (lsass.exe)” cambiará de No configurado a Configurado y el modo predeterminado se establecerá en Bloquear. Todas las demás reglas de ASR permanecerán en su estado predeterminado: No configurado”.
Esta función se configuró durante mucho tiempo para deshabilitarse en Microsoft Defender, ya que puede generar señales falsas y provocar una verificación de procesos pesada en los registros de eventos. Pero dado que Microsoft priorizó la seguridad en el sistema operativo Windows, ahora lo habilitó de forma predeterminada.