Se você estiver executando o Windows 11 ou a versão mais recente do Windows Server, o Microsoft Defender Antivirus, que faz parte do sistema operacional, agora pode impedir que suas senhas sejam roubadas.
O novo recurso foi introduzido por meio da regra Antimalware Scan Interface (ASR), que é um conjunto de regras usadas pelo Microsoft Defender para verificar arquivos e bloquear malware.
A regra usa aprendizado de máquina para detectar processos maliciosos que não precisam de acesso às funções LSA no Windows, mas ainda tentam acessá-los.
Como o LSASS funciona
O Serviço de Subsistema de Autoridade de Segurança Local (LSASS) é um processo no Windows que lida com o logon e outras tarefas relacionadas à segurança, portanto, ao obter acesso aos recursos LSA, o malware pode roubar credenciais da memória ou de outros recursos de segurança do Windows .
O Credential Guard da Microsoft autentica os usuários que fazem login protegendo o sistema com seu componente Defender. O problema é que nem todos os ambientes terão o Credential Guard habilitado porque ele não é compatível com todos os programas.
Um arquivo de despejo de memória gerado quando um invasor invade o computador de um usuário pode conter a senha e o nome de usuário do usuário. Este arquivo é possibilitado pelo uso do Mimikatz, uma ferramenta especial projetada para esse fim.
Os invasores podem usar um processo legítimo que existe no sistema operacional para obter acesso total ao sistema e transferir despejos de memória contendo credenciais para locais remotos.
O Defender não bloqueará esta ação porque o processo é legítimo e a ação não é maliciosa. O Defender detecta apenas o uso malicioso de processos e não pode impedir sua criação ou transferência.
Atualizações do Microsoft Defender
A Microsoft abordou esse problema de segurança introduzindo uma nova regra de segurança chamada Attack Surface Reduction (ASR).
Essa regra impedirá que os programas abram o LSASS e, por sua vez, os impedirá de criar um despejo de memória. Ele bloqueará o acesso ao LSASS mesmo se um programa elevado tentar abrir o processo.
Como apenas programas com direitos de administrador podem abrir o LSASS, esse bloco também os impede de acessar outros processos protegidos que possam estar em execução no computador.
A regra também impede que o próprio processo protegido abra sua própria imagem, impossibilitando a captura ou modificação de dados na memória protegida.
Essa configuração padrão faz com que este ASR seja habilitado enquanto todas as outras regras associadas a ele permanecem em seu estado padrão.
Vantagens e desvantagens
O Microsoft Defender usa um sistema de detecção que detecta malware conhecido e desconhecido, mas não é confiável. Os autores de malware estão sempre procurando novas maneiras de proteger seu malware da detecção.
No entanto, se você estiver usando um software antivírus de terceiros em seu computador, a regra ASR não estará disponível. A ausência de uma regra ASR permite que hackers ignorem a restrição do Microsoft Defender, bem como formas de ignorá-la.
Vários pesquisadores de segurança do Windows já ignoraram a regra Defender ASR usando seus caminhos de exclusão para obter acesso ao arquivo Lsass.exe.
O relatório menciona que, como o Defender já tem algumas exceções – por exemplo, permite que certos usuários com privilégios de administrador solicitem e respondam a solicitações de ASR – ele permite que hackers explorem essas regras enquanto encontram novas maneiras de atacar computadores.
Isso significa que apenas usuários do Windows 11 Enterprise e Pro serão protegidos pelo ASR aprimorado.
No entanto, os pesquisadores de segurança deram as boas-vindas à nova regra ASR. Como isso torna o Windows um pouco mais seguro, quanto menos senhas forem roubadas, melhor, pois todos se beneficiarão com isso.
A versão mais recente do Microsoft Defender , conhecida como Microsoft Defender Preview, oferece um painel com o qual você pode gerenciar a segurança de seus dispositivos.
Você acha que a nova atualização do Microsoft Defender promete para a segurança do Windows? Dê-nos seus pensamentos na seção de comentários abaixo.
Deixe um comentário