Microsoft Defender vai ser mais seguro na protecção contra o roubo das credenciais do Windows
15 Fevereiro, 2022Microsoft Defender em breve vai bloquear o roubo de passwords do Windows
Lançado em Novembro de 2021, o Windows Defender ganhou um novo utilitário chamado Microsoft Defender, que inclui os serviços de detecção, e correcção, do Microsoft 365 Defender e do Azure Defender. Com esse peso adicional, o Windows Defender agora oferece “a maior cobertura de recursos de qualquer solução XDR do sector”.
Para registo, as soluções XDR permitem respostas rápidas a ataques cibernéticos graças a algoritmos de aprendizagem de máquina, e análises observáveis de dados do utilizador, na nuvem. E justamente, o software antivírus da Microsoft receberá uma nova ferramenta, desta vez para evitar o roubo de identificadores do Windows.
Como explica a empresa de Redmond, uma das técnicas mais comuns para roubar credenciais do Windows é obter privilégios de administrador num dispositivo comprometido e, em seguida, despejar a memória do processo da Autoridade de Segurança Local (LSASS) em execução no Windows.
Para evitar que invasores abusem dos dumps principais do LSASS, a Microsoft introduziu mecanismos que bloqueiam o acesso a esses processos. A primeira delas não é outra senão o Credential Guard. O seu trabalho é isolar o processo LSASS num contêiner virtualizado para impedir que outros processos acedam ao mesmo.
No entanto, o Credential Guard pode entrar em conflito com drivers ou aplicações, levando algumas empresas a desactivá-lo. Portanto, para evitar o roubo de identificação do Windows, e possíveis conflitos entre aplicações e o Credential Guard, a Microsoft em breve activará por padrão uma regra de Redução de superfície de ataque (ASR) no Microsoft Defender.
De facto, a regra “Bloquear credencial roubando do subsistema de autoridade de segurança local do Windows” impede que os processos abram o processo LSASS e despejem a sua memória, mesmo que um invasor tenha privilégios administrativos. Todas as outras regras de ASR permanecerão no seu estado padrão, ou seja, Não configurado”, explica a Microsoft no seu documento de regras de ASR.
Sandro Sotto
Licenciado em Educação Física e apaixonado por novas tecnologias e gadgets. O meu hobbie alem da família e os amigos são os desportos motorizados e mais recentemente comecei a dedicar-me ao mergulho.