Microsoft’un antivirüs programında bulunan bir siber güvenlik kuralı, tehdit aktörlerinin Windows’u çalmasını önlemek amacıyla yakında varsayılan olarak çalışacak. kimlik bilgileri.
Siber güvenlik araştırmacısı Kostas değişikliği ilk olarak Microsoft’un Saldırı Yüzeyini Azaltma (ASR) kurallarında yapılan bir güncellemede fark etti.
Tehdit aktörleri, zaten güvenliği ihlal edilmiş bir ağda yanlamasına hareket etmek için genellikle kimlik bilgilerini çalar veya çeşitli açıklardan yararlanır. Bu işi yapmanın bir yolu, yönetici erişimi elde etmek ve ardından Windows kimlik bilgilerinin NTLM karmalarını içerdiğinden Yerel Güvenlik Yetkilisi Sunucu Hizmeti (LSASS) işleminin belleğini boşaltmaktır.
Sürücü çakışmaları
Bunlar daha sonra kaba kuvvetle çalıştırılabilir, ancak LSASS bellek dökümlerini meraklı gözlerden uzak tutmak için Microsoft, işlemi sanallaştırılmış bir kapta yalıtan Credential Guard aracılığıyla buna erişimi engeller.
Ancak, BleeBilgisayar notlar, bu özellik bazen sürücü çakışmalarına neden olur. uç noktalarbu nedenle birçok kuruluş bunu etkinleştirmemeyi tercih ediyor.
Şimdi, bu soruna geçici bir çözüm bulmak için Microsoft, varsayılan olarak “Windows yerel güvenlik yetkilisi alt sisteminden kimlik bilgilerinin çalınmasını engelle” adlı bir ASR kuralını etkinleştirecektir.
Yönetici ayrıcalıklarıyla bile süreçlerin LSASS sürecini açmasını engeller.
“Windows yerel güvenlik yetkilisi alt sisteminden (lsass.exe) kimlik bilgilerinin çalınmasını engelle” Saldırı Yüzeyi Azaltma (ASR) kuralının varsayılan durumu Yapılandırılmadı’dan Yapılandırılmış olarak değişecek ve varsayılan mod Engelle olarak ayarlanacaktır. Diğer tüm ASR kuralları varsayılan durumlarında kalır: Yapılandırılmadı.”, güncellenmiş belge okur.
“Son kullanıcı bildirimlerini azaltmak için kurala ek filtreleme mantığı zaten dahil edilmiştir. Müşteriler, varsayılan modu geçersiz kılacak olan Denetim, Uyarı veya Devre Dışı modları için kuralı yapılandırabilir. varsayılan olarak açık modunda yapılandırılır veya Engelleme modunu manuel olarak etkinleştirirseniz.
Üzerinden: BleeBilgisayar