Microsoft está habilitando por defecto una nueva función de seguridad en Microsoft Defender para "reducir la superficie de ataque" para bloquear los intentos de hackers de robar credenciales de Windows desde el proceso LSASS o Local Security Authority Server Service. Esto es porque unos de los métodos más comunes para robar credenciales de Windows es obtener privilegios de administrador en un dispositivo comprometido y luego volcar la memoria del proceso (LSASS) que se ejecuta en Windows.
Como recuerda Bleeping Computer, este volcado de memoria contiene los hashes NTLM de las credenciales de Windows de los usuarios que han iniciado sesión en el ordenador, que pueden ser forzados para obtener contraseñas en texto plano o utilizados en ataques Pass-the-Hash para iniciar sesión en otros dispositivos.
El programa Mimikatz
Los actores de amenazas pueden utilizar el popular programa Mimikatz para volcar los hashes NTLM de LSASS. Microsoft Defender bloquea programas como Mimikatz, un volcado de memoria de LSASS todavía puede ser transferido a un equipo remoto para volcar las credenciales sin temor a ser bloqueado. Hay quer recordar que el pasado año Mimikatz apareció dentro de un par de procesos de ataques, como el de diciembre con NICKEL.
La novedad anunciada busca evitar que se pueda abusar de los volcados de memoria de LSASS introduciendo funciones de seguridad que impiden el acceso al proceso.
Como forma de mitigar el robo de credenciales de Windows sin causar los conflictos introducidos por Credential Guard, Microsoft pronto habilitará una regla de reducción de la superficie de ataque (ASR) de Microsoft Defender por defecto.
"El estado predeterminado de la regla de reducción de la superficie de ataque (ASR), de bloquear el robo de credenciales del subsistema de autoridad de seguridad local de Windows (lsass.exe)" cambiará de No configurado a Configurado y el modo predeterminado se establecerá en Bloquear. Todas las demás reglas ASR permanecerán en su estado predeterminado: No configurado", explica Microsoft en el documento actualizado sobre la regla ASR.
Como las reglas de Reducción de la Superficie de Ataque tienden a introducir falsos positivos y mucho ruido en los Registros de Eventos, Microsoft no había habilitado previamente la característica de seguridad por defecto.
Esta semana, también hemos sabido que Microsoft ha comenzado a retirar la herramienta WMIC que los actores de amenazas suelen utilizar para instalar malware y ejecutar comandos.
Es importante decir que la función completa de reducción de la superficie de ataque sólo es compatible con las licencias de Windows Enterprise que ejecutan Microsoft Defender como antivirus principal. Los investigadores de seguridad han descubierto rutas de exclusión integradas en Microsoft Defender que permiten a los actores de amenazas ejecutar sus herramientas desde esos nombres de archivo/directorios para eludir las reglas de ASR y seguir volcando el proceso de LSASS.
Ver 2 comentarios