Tính năng bảo mật mới của Microsoft Defender sẽ được kích hoạt theo mặc định.
Một quy tắc bảo mật không gian mạng trong Microsoft Defender, chương trình chống vi rút của Microsoft sẽ sớm chạy theo mặc định, nhằm ngăn chặn các tác nhân đe dọa lấy cắp thông tin đăng nhập Windows.
Nhà nghiên cứu an ninh mạng Kostas lần đầu tiên phát hiện ra sự thay đổi trong bản cập nhật cho các quy tắc Attack Surface Reduction (ASR) của Microsoft.
Các tác nhân đe dọa thường đánh cắp thông tin đăng nhập hoặc sử dụng nhiều cách khai thác khác nhau để di chuyển qua một mạng đã bị xâm nhập. Một cách để thực hiện công việc này là có được quyền truy cập quản trị, sau đó kết xuất bộ nhớ của tiến trình Local Security Authority Server Service (LSASS hay lsass.exe) vì nó giữ các mã băm NTLM của thông tin đăng nhập Windows.
Xung đột trình điều khiển
Những điều này sau đó có thể bị brute force (kiểu tấn công được dùng cho tất cả loại mã hóa, hoạt động bằng cách thử tất cả chuỗi mật khẩu có thể để tìm ra mật khẩu), nhưng để giữ cho kết xuất bộ nhớ LSASS tránh khỏi những con mắt tò mò, Microsoft ngăn chặn quyền truy cập vào nó thông qua Credential Guard, cách ly tiến trình này trong một vùng chứa ảo hóa.
Credential Guard là công nghệ cô lập dựa trên ảo hóa cho LSASS để ngăn những kẻ tấn công đánh cắp thông tin đăng nhập có thể được sử dụng để vượt qua các cuộc tấn công băm. Credential Guard được giới thiệu cùng với hệ điều hành Windows 10.
Tuy nhiên, như trang BleepingComputer lưu ý, tính năng này đôi khi dẫn đến xung đột driver trên các điểm cuối. Đó là lý do tại sao nhiều tổ chức chọn không bật nó.
Bây giờ, để giải quyết vấn đề này, Microsoft sẽ kích hoạt một quy tắc ASR, được gọi là "Chặn ăn cắp thông tin xác thực từ tiến trình Local Security Authority Subsystem Service (lsass.exe)", theo mặc định.
Nó ngăn các quá trình từ việc mở LSASS ngay cả với các đặc quyền của quản trị viên.
"Trạng thái mặc định cho quy tắc ASR chặn ăn cắp thông tin xác thực từ tiến trình Local Security Authority Subsystem Service (lsass.exe) sẽ thay đổi từ Not Configured thành Configured và chế độ mặc định được đặt thành Block. Tất cả các quy tắc ASR khác sẽ vẫn ở trạng thái mặc định của chúng: Not Configured", theo tài liệu.
Local Security Authority Subsystem Service là một tiến trình trong Windows chịu trách nhiệm thực thi chính sách bảo mật trên hệ thống. Local Security Authority Subsystem Service xác minh người dùng đăng nhập vào máy tính hoặc máy chủ Windows, xử lý các thay đổi mật khẩu và tạo mã thông báo truy cập. Nó cũng ghi vào nhật ký bảo mật Windows.