A Microsoft está habilitando uma regra de segurança 'Attack Surface Reduction' do Microsoft Defender por padrão para bloquear tentativas de hackers de roubar credenciais do Windows do processo LSASS.
Quando os agentes de ameaças comprometem uma rede, eles tentam se espalhar lateralmente para outros dispositivos roubando credenciais ou usando exploits.
Um dos métodos mais comuns para roubar credenciais do Windows é obter privilégios de administrador em um dispositivo comprometido e, em seguida, despejar a memória do processo LSASS (Local Security Authority Server Service) em execução no Windows.
Esse despejo de memória contém hashes NTLM de credenciais do Windows de usuários que efetuaram login no computador que podem ser forçados para senhas de texto simples ou usados em ataques Pass-the-Hash para fazer login em outros dispositivos.
Uma demonstração de como os agentes de ameaças podem usar o popular programa Mimikatz para despejar hashes NTLM do LSASS é mostrada abaixo.
Embora o Microsoft Defender bloqueie programas como o Mimikatz, um despejo de memória LSASS ainda pode ser transferido para um computador remoto para despejar credenciais sem medo de ser bloqueado.
ASR do Microsoft Defender para o resgate
Para evitar que os agentes de ameaças abusem dos despejos de memória LSASS, a Microsoft introduziu recursos de segurança que impedem o acesso ao processo LSASS.
Um desses recursos de segurança é o Credential Guard, que isola o processo LSASS em um contêiner virtualizado que impede que outros processos o acessem.
No entanto, esse recurso pode levar a conflitos com drivers ou aplicativos, fazendo com que algumas organizações não o habilitem.
Como forma de mitigar o roubo de credenciais do Windows sem causar os conflitos introduzidos pelo Credential Guard, a Microsoft em breve habilitará uma regra de Redução de superfície de ataque (ASR) do Microsoft Defender por padrão.
A regra 'Bloquear o roubo de credenciais do subsistema de autoridade de segurança local do Windows' impede que os processos abram o processo LSASS e despejem sua memória, mesmo que tenham privilégios administrativos.
Essa nova mudança foi descoberta esta semana pelo pesquisador de segurança Kostas , que detectou uma atualização na documentação de regras de ASR da Microsoft.
"O estado padrão para a regra de Redução de superfície de ataque (ASR) "Bloquear roubo de credenciais do subsistema de autoridade de segurança local do Windows (lsass.exe)" mudará de Não configurado para Configurado e o modo padrão definido como Bloquear . permanecem em seu estado padrão: Não configurado .", explicou a Microsoft no documento atualizado sobre a regra ASR.
"Lógica de filtragem adicional já foi incorporada na regra para reduzir as notificações do usuário final. Os clientes podem configurar a regra para os modos Audit , Warn ou Disabled , que substituirão o modo padrão. A funcionalidade desta regra é a mesma, seja a regra configurado no modo on-by-default, ou se você habilitar o modo Block manualmente."
Como as regras de redução da superfície de ataque tendem a introduzir falsos positivos e muito ruído nos logs de eventos, a Microsoft não havia habilitado anteriormente o recurso de segurança por padrão.
No entanto, a Microsoft começou recentemente a escolher a segurança em detrimento da conveniência, removendo recursos comuns usados por administradores e usuários do Windows que aumentam as superfícies de ataque.
Por exemplo, a Microsoft anunciou recentemente que impediria que macros VBA em documentos do Office baixados fossem habilitadas nos aplicativos do Office em abril, eliminando um método popular de distribuição de malware.
Esta semana, também soubemos que a Microsoft começou a descontinuar a ferramenta WMIC que os agentes de ameaças costumam usar para instalar malware e executar comandos.
Não é uma solução perfeita, mas um ótimo começo
Embora a ativação da regra ASR por padrão afete significativamente o roubo de credenciais do Windows, não é uma bala de prata de forma alguma.
Isso ocorre porque o recurso completo de Redução da superfície de ataque só tem suporte em licenças do Windows Enterprise que executam o Microsoft Defender como o antivírus primário. No entanto, os testes do BleepingComputer mostram que a regra LSASS ASR também funciona em clientes Windows 10 e Windows 11 Pro.
Infelizmente, assim que outra solução antivírus é instalada, o ASR é imediatamente desabilitado no dispositivo.
Além disso, os pesquisadores de segurança descobriram caminhos de exclusão internos do Microsoft Defender, permitindo que os agentes de ameaças executem suas ferramentas a partir desses nomes de arquivos/diretórios para ignorar as regras ASR e continuar a despejar o processo LSASS.
O desenvolvedor do Mimikatz, Benjamin Delpy, disse ao BleepingComputer que a Microsoft provavelmente adicionou essas exclusões internas para outra regra, mas como as exclusões afetam TODAS as regras, ela ignora a restrição LSASS.
"Por exemplo, se eles quiserem excluir um diretório da regra "Bloquear a execução de arquivos executáveis, a menos que atendam a um critério de prevalência, idade ou lista confiável", não é possível apenas para esta regra. A exclusão é para TODOS os ASR incluindo o acesso LSASS", Delpy explicou ao BleepingComputer em uma conversa sobre as próximas mudanças.
No entanto, mesmo com todos esses problemas, a Delpy vê essa mudança como um grande passo à frente da Microsoft e acredita que afetará significativamente a capacidade de um agente de ameaças de roubar credenciais do Windows.
"É algo que pedimos há anos (décadas?). É um bom passo e estou muito feliz em ver que + Macro desabilitado por padrão quando vem da Internet. Agora começamos a ver medidas realmente relacionadas a ataques do mundo real, " continuou Delpy.
"Não há razão legítima para dar suporte a um processo abrindo o processo LSASS... apenas para dar suporte a produtos com bugs / legados / ruins - na maioria das vezes - relacionados à autenticação :')."
A BleepingComputer entrou em contato com a Microsoft para saber mais sobre quando essa regra será habilitada por padrão, mas não recebeu resposta.
Artigo traduzido. Artigo original: https://www.bleepingcomputer.com/news/microsoft/microsoft-is-making-it-harder-to-steal-windows-passwords-from-memory/