La nuova funzionalità è stata introdotta tramite la regola Antimalware Scan Interface (ASR), che è un insieme di regole usate da Microsoft Defender per analizzare i file e bloccare il malware.
La regola utilizza l’apprendimento automatico per rilevare processi dannosi che non richiedono l’accesso alle funzioni LSA in Windows, ma tentano comunque di accedervi.
Come funziona LSASS
Il Local Security Authority Subsystem Service (LSASS) è un processo in Windows che gestisce l’accesso e altre attività relative alla sicurezza, quindi, accedendo alle funzionalità LSA, il malware può rubare le credenziali dalla memoria o in altro modo dalle funzionalità di sicurezza di Windows .
Credential Guard di Microsoft autentica gli utenti che accedono proteggendo il sistema con il suo componente Defender. Il problema è che non tutti gli ambienti avranno Credential Guard abilitato perché non è compatibile con tutti i programmi.
Un file di dump della memoria generato quando un utente malintenzionato irrompe nel computer di un utente può contenere la password e il nome utente dell’utente. Questo file è reso possibile dall’uso di Mimikatz, uno strumento speciale progettato per questo scopo.
Gli aggressori possono utilizzare un processo legittimo esistente nel sistema operativo per ottenere l’accesso completo al sistema e trasferire dump di memoria contenenti credenziali in posizioni remote.
Defender non bloccherà questa azione perché il processo è legittimo e l’azione non è dannosa. Defender rileva solo l’uso dannoso dei processi e non può impedirne la creazione o il trasferimento.
Aggiornamenti Microsoft Defender
Microsoft ha affrontato questo problema di sicurezza introducendo una nuova regola di sicurezza denominata Attack Surface Reduction (ASR).
Questa regola impedirà ai programmi di aprire LSASS e, a sua volta, impedirà loro di creare un dump della memoria. Bloccherà l’accesso a LSASS anche se un programma con privilegi elevati tenta di aprire il processo.
Poiché solo i programmi con diritti di amministratore possono aprire LSASS, questo blocco impedisce loro anche di accedere ad altri processi protetti che potrebbero essere in esecuzione sul computer.
La regola impedisce inoltre al processo protetto stesso di aprire la propria immagine, rendendo impossibile l’acquisizione o la modifica dei dati nella memoria protetta.
Questa impostazione predefinita fa sì che questo ASR venga abilitato mentre tutte le altre regole ad esso associate rimangono nel loro stato predefinito.
Vantaggi e svantaggi
Microsoft Defender usa un sistema di rilevamento che rileva il malware noto e sconosciuto, ma non è affidabile. Gli autori di malware sono sempre alla ricerca di nuovi modi per proteggere il proprio malware dal rilevamento.
Tuttavia, se stai utilizzando un software antivirus di terze parti sul tuo computer, la regola ASR non è disponibile. L’assenza di una regola ASR consente agli hacker di aggirare la restrizione di Microsoft Defender, nonché i modi per aggirarla.
Numerosi ricercatori sulla sicurezza di Windows hanno già aggirato la regola ASR di Defender utilizzando i suoi percorsi di esclusione per ottenere l’accesso al file Lsass.exe.
Il rapporto afferma che poiché Defender ha già alcune eccezioni, ad esempio consente a determinati utenti con privilegi di amministratore di richiedere e rispondere alle richieste ASR, consente agli hacker di sfruttare queste regole mentre trovano nuovi modi per attaccare i computer.
Ciò significa che solo gli utenti di Windows 11 Enterprise e Pro saranno protetti dall’ASR avanzato.
Tuttavia, i ricercatori sulla sicurezza hanno accolto favorevolmente la nuova regola ASR. Poiché ciò rende Windows un po’ più sicuro, meno password vengono rubate, meglio è, poiché tutti ne trarranno vantaggio.
L’ultima versione di Microsoft Defender , nota come Microsoft Defender Preview, offre una dashboard con cui puoi gestire la sicurezza dei tuoi dispositivi.
Pensi che il nuovo aggiornamento di Microsoft Defender sia promettente per la sicurezza di Windows? Dacci i tuoi pensieri nella sezione commenti qui sotto.
Lascia un commento