Tính năng bảo mật mới của Microsoft Defender sẽ được kích hoạt theo mặc định.

Microsoft Defender khiến mật khẩu Windows khó bị đánh cắp hơn

Sơn Vân | 14/02/2022, 23:30

Tính năng bảo mật mới của Microsoft Defender sẽ được kích hoạt theo mặc định.

Một quy tắc bảo mật không gian mạng trong Microsoft Defender, chương trình chống vi rút của Microsoft sẽ sớm chạy theo mặc định, nhằm ngăn chặn các tác nhân đe dọa lấy cắp thông tin đăng nhập Windows.

Nhà nghiên cứu an ninh mạng Kostas lần đầu tiên phát hiện ra sự thay đổi trong bản cập nhật cho các quy tắc Attack Surface Reduction (ASR) của Microsoft.

Các tác nhân đe dọa thường đánh cắp thông tin đăng nhập hoặc sử dụng nhiều cách khai thác khác nhau để di chuyển qua một mạng đã bị xâm nhập. Một cách để thực hiện công việc này là có được quyền truy cập quản trị, sau đó kết xuất bộ nhớ của tiến trình Local Security Authority Server Service (LSASS hay lsass.exe) vì nó giữ các mã băm NTLM của thông tin đăng nhập Windows.

microsoft-se-khien-mat-khau-windows-kho-bi-danh-cap-hon.jpg
Một quy tắc bảo mật không gian mạng trong Microsoft Defender sẽ ngăn chặn các tác nhân đe dọa lấy cắp thông tin đăng nhập Windows - Ảnh: Internet

Xung đột trình điều khiển

Những điều này sau đó có thể bị brute force (kiểu tấn công được dùng cho tất cả loại mã hóa, hoạt động bằng cách thử tất cả chuỗi mật khẩu có thể để tìm ra mật khẩu), nhưng để giữ cho kết xuất bộ nhớ LSASS tránh khỏi những con mắt tò mò, Microsoft ngăn chặn quyền truy cập vào nó thông qua Credential Guard, cách ly tiến trình này trong một vùng chứa ảo hóa.

Credential Guard là công nghệ cô lập dựa trên ảo hóa cho LSASS để ngăn những kẻ tấn công đánh cắp thông tin đăng nhập có thể được sử dụng để vượt qua các cuộc tấn công băm. Credential Guard được giới thiệu cùng với hệ điều hành Windows 10.

Tuy nhiên, như trang BleepingComputer lưu ý, tính năng này đôi khi dẫn đến xung đột driver trên các điểm cuối. Đó là lý do tại sao nhiều tổ chức chọn không bật nó.

Bây giờ, để giải quyết vấn đề này, Microsoft sẽ kích hoạt một quy tắc ASR, được gọi là "Chặn ăn cắp thông tin xác thực từ tiến trình Local Security Authority Subsystem Service (lsass.exe)", theo mặc định.

Nó ngăn các quá trình từ việc mở LSASS ngay cả với các đặc quyền của quản trị viên.

"Trạng thái mặc định cho quy tắc ASR chặn ăn cắp thông tin xác thực từ tiến trình Local Security Authority Subsystem Service (lsass.exe) sẽ thay đổi từ Not Configured thành Configured và chế độ mặc định được đặt thành Block. Tất cả các quy tắc ASR khác sẽ vẫn ở trạng thái mặc định của chúng: Not Configured", theo tài liệu.

Local Security Authority Subsystem Service là một tiến trình trong Windows chịu trách nhiệm thực thi chính sách bảo mật trên hệ thống. Local Security Authority Subsystem Service xác minh người dùng đăng nhập vào máy tính hoặc máy chủ Windows, xử lý các thay đổi mật khẩu và tạo mã thông báo truy cập. Nó cũng ghi vào nhật ký bảo mật Windows.

Bài liên quan
Disney muốn thành nơi hạnh phúc nhất trong vũ trụ ảo dù Facebook, Microsoft tham gia cuộc chơi
Disney đã sẵn sàng để dấn thân vào metaverse (vũ trụ ảo) và trở thành nơi hạnh phúc nhất.

(0) Bình luận
Nổi bật Một thế giới
Sau sắp xếp bộ máy tổ chức, TP.HCM giảm 129 đầu mối
2 giờ trước Theo dòng thời sự
Ngày 22.11, Thành ủy TP.HCM tổ chức hội thảo “Tiếp tục xây dựng hệ thống chính trị tinh gọn, hiệu lực, hiệu quả; đổi mới nội dung, phương thức lãnh đạo của các cấp ủy, quản lý của chính quyền; xây dựng đội ngũ cán bộ, công chức, viên chức đáp ứng nhiệm vụ trong tình hình mới”.
Đừng bỏ lỡ
Mới nhất
POWERED BY ONECMS - A PRODUCT OF NEKO
Microsoft Defender khiến mật khẩu Windows khó bị đánh cắp hơn