Une règle de cybersécurité installée dans le programme antivirus de Microsoft sera bientôt exécutée par défaut, dans le but d’empêcher les pirates de voler Windows crédits.
Chercheur en cybersécurité Kostas a d’abord repéré le changement dans une mise à jour des règles de réduction de la surface d’attaque (ASR) de Microsoft.
Les auteurs de menaces volent généralement des informations d’identification ou utilisent divers exploits afin de se déplacer latéralement à travers un réseau déjà compromis. Une façon de procéder consiste à obtenir un accès administrateur, puis à vider la mémoire du processus LSASS (Local Security Authority Server Service), car il contient les hachages NTLM des informations d’identification Windows.
Conflits de pilote
Ceux-ci peuvent ensuite être forcés brutalement, mais afin de garder les vidages de mémoire LSASS à l’abri des regards indiscrets, Microsoft en empêche l’accès, via le Credential Guard, qui isole le processus dans un conteneur virtualisé.
Cependant, comme BipOrdinateur notes, la fonctionnalité entraîne parfois des conflits de pilote sur le points de terminaisonc’est pourquoi de nombreuses organisations choisissent de ne pas l’activer.
Maintenant, pour contourner ce problème, Microsoft activera une règle ASR, appelée « Bloquer le vol d’informations d’identification du sous-système de l’autorité de sécurité locale de Windows », par défaut.
Il empêche les processus d’ouvrir le processus LSASS, même avec des privilèges d’administrateur.
« L’état par défaut de la règle de réduction de la surface d’attaque (ASR) « Bloquer le vol d’informations d’identification du sous-système de l’autorité de sécurité locale Windows (lsass.exe) » passera de Non configuré à Configuré et le mode par défaut sera défini sur Bloquer. Toutes les autres règles ASR seront restent dans leur état par défaut : Non configuré. », lit-on dans le document mis à jour.
« Une logique de filtrage supplémentaire a déjà été intégrée à la règle pour réduire les notifications de l’utilisateur final. Les clients peuvent configurer la règle sur les modes Audit, Avertir ou Désactivé, ce qui remplacera le mode par défaut. La fonctionnalité de cette règle est la même, que la règle soit configuré en mode activé par défaut ou si vous activez le mode Bloquer manuellement. «
Passant par: BipOrdinateur