Microsoft Defender va putea bloca furtul parolelor Windows

Este cum va înțeles că, din postura de program antivirus oferit de Microsoft în mod gratuit utilizatorilor de PC-uri Windows, Microsoft Defender nu dispune chiar de toate tehnologiile avansate de protecție așteptate de la un produs antivirus comercial. Însă asta se va schimba în viitorul apropiat.

Deși este prezentat ca un produs de securitate cu funcționalitate de bază, antivirusul Microsoft Defender este departe de reprezenta un act benevol de generozitate din partea dezvoltatorului Windows. Rolul său este clar definit, ba chiar esențial, de a limita pe cât posibil potențialul de exploatare a numeroaselor probleme de securitate Windows, câștigând timp pentru dezvoltarea și distribuirea de patch-uri care să le închidă definitiv.

Faptul că Microsoft Defender primește un nou mecanism de securitate numit Attack Surface Reduction este doar consecința unei probleme de securitate Windows cronicizată, hackerii reușind tot mai des să extindă atacuri în rețeaua locală a companiilor prin exploatarea procesului de sistem Local Security Authority Server Service (LSASS). Practic, pornind de la un singur PC compromis la care hackerii au obținut drepturi de acces la nivel de Administratori, extragerea din memoria RAM a procesului LSASS permite obținerea hash-urilor criptografice (NTLM) pentru toți utilizatorii care sau autentificat pe PC-ul respectiv către alte servicii din rețeaua locală. Acestea sunt ulterior decriptate pentru obținerea parolelor în formă clară, deschizând accesul la alte dispozitive din cadrul rețelei.

Noua funcționalitate a antivirusului Microsoft Defender țintește direct sursa problemelor, blocând eventualele încercări de tip memory dump, izolând procesul LSASS folosind tehnologii de virtualizare, într-un spațiu de memorie protejat.

Problema este că noul mecanism de securitate poate ridica anumite conflicte cu drivere de sistem sau aplicații, unele dintre acestea încetând pur și simplu să mai funcționeze. În astfel de situații, administratorii de sistem vor putea să debifeze manual noua regulă Attack Surface Reduction (ASR), activată de Microsoft în mod implicit.