Microsoft Defender obtiene una nueva función para evitar el robo de credenciales

Para evitar que los piratas informáticos roben las credenciales de Windows en el proceso LSASS, Microsoft ahora ha habilitado una función de seguridad en Microsoft Defender.

La reducción de la superficie de ataque evitará que incluso los piratas informáticos de nivel de administrador accedan al proceso LSASS y descarguen las credenciales. Esta característica ha estado en Defender durante mucho tiempo, pero estaba inactiva. Y ahora está activado ya que Microsoft prioriza la seguridad.

Índice de contenidos

    Bloqueo de acceso a Windows LSASS

    Al comprometer un sistema de destino, los piratas informáticos intentan moverse lateralmente a través de la red para victimizar a más máquinas. Y esto sucede ya sea robando las credenciales de esos sistemas o explotando cualquier falla en ellos. Y si el hacker elige el primero, ocurre principalmente mediante el vertido de credenciales a través de hash NTLM.

    NTLM, a cambio, es parte del proceso del Servicio del servidor de la autoridad de seguridad local (LSASS), un trabajo crítico en Windows. Los piratas informáticos que intenten robar las credenciales de Windows del proceso LSASS descargarán su memoria, que contiene hashes NTLM de las credenciales de Windows.

    Estos hashes se pueden usar por fuerza bruta para revelar las contraseñas de texto claro, lo que permite que los piratas informáticos los usen para acceder a otros sistemas. Como resultado, Microsoft presentó Guardia de credenciales anteriormente, aislando el proceso LSASS en un contenedor virtualizado para evitar que otros procesos accedan a él.

    Sin embargo, esto a menudo interfiere con los controladores o las aplicaciones, provocando conflictos y obligando a las empresas a no utilizarlo. Por lo tanto, a Microsoft se le ocurrió una solución: habilitar la regla de reducción de la superficie de ataque (ASR) de Microsoft Defender de forma predeterminada.

    Como fue visto por Kostas, un investigador de seguridad en la documentación de reglas ASR de Microsoft. y la empresa más tarde escribió como;

    “El estado predeterminado para la regla de reducción de la superficie de ataque (ASR) “Bloquear el robo de credenciales del subsistema de autoridad de seguridad local de Windows (lsass.exe)” cambiará de No configurado a Configurado y el modo predeterminado se establecerá en Bloquear. Todas las demás reglas de ASR permanecerán en su estado predeterminado: No configurado”.

    Esta función se configuró durante mucho tiempo para deshabilitarse en Microsoft Defender, ya que puede generar señales falsas y provocar una verificación de procesos pesada en los registros de eventos. Pero dado que Microsoft priorizó la seguridad en el sistema operativo Windows, ahora lo habilitó de forma predeterminada.

    Relacionados

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada.

    Subir