Microsoft, bir Microsoft Defender'ın, bilgisayar korsanlarının LSASS işleminden Windows kimlik bilgilerini çalma girişimlerini engellemek için varsayılan olarak varsayılan olarak güvenlik kuralını varsayılan olarak etkinleştiriyor.
Tehdit aktörleri bir ağı tehlikeye attığında, kimlik bilgilerini çalarak veya istismarları kullanarak diğer cihazlara yanal olarak yaymaya çalışırlar.
Windows kimlik bilgilerini çalmak için en yaygın yöntemlerden biri, uzlaşmış bir cihazda yönetici ayrıcalıklarını kazanmak ve ardından Windows'ta çalışan yerel güvenlik yetkisi sunucusu hizmetinin (LSASS) işleminin hafızasını terk etmektir.
Bu bellek dökümü, net metin şifreleri için kaba bir şekilde zorlanabilecek veya diğer cihazlara giriş yapmak için geçişli saldırılarda kullanılabilecek bilgisayarlara giriş yapmış olan kullanıcıların Windows kimlik bilgilerini içerir.
Tehdit aktörlerinin popüler Mimikatz programını NTLM Hashes'ten LSASS'ten dökmek için nasıl kullanabileceği bir tanıtım aşağıda gösterilmiştir.
Microsoft Defender Bloğu Mimikatz gibi blok programları iken, bir LSASS bellek dökümü, kimlik bilgilerini engelleme korkusu olmadan boşaltmak için uzak bir bilgisayara hala aktarılabilir.
Tehdit aktörlerinin LSASS bellek dökümlerini kötüye kullanmasını önlemek için, Microsoft, LSASS işlemine erişimi engelleyen güvenlik özellikleri tanıttı.
Bu güvenlik özelliklerinden biri, LSASS işlemini, diğer işlemlerin erişmesini önleyen sanallaştırılmış bir kaba yalıttıran kimlik bilgileridir.
Ancak, bu özellik, sürücüler veya uygulamalarla çatışmalara yol açabilir, bazı kuruluşların bunu etkinleştirmemesine neden olabilir.
Windows kimlik bilgisi hırsızlığını kimlik bilgisi tarafından verilen çatışmalara neden olmadan azaltmanın bir yolu olarak, Microsoft yakında varsayılan olarak bir Microsoft Defender Saldırısı Yüzey azaltma (ASR) kuralını etkinleştirir.
Kural, 'Windows Yerel Güvenlik Otoritesi Subsystem'den çalınan Kimlik Bilgileri Blok', 'LSASS işleminin açılmasını ve yönetimsel ayrıcalıklara sahip olsa bile hafızasını boşaltmalarını önler.
Bu yeni değişiklik, bu hafta, Microsoft'un ASR Kuralları belgelerine bir güncelleme gösteren güvenlik araştırmacısı Kostas tarafından keşfedildi.
"Saldırı yüzeyi azaltma (ASR) kuralı için varsayılan durum" Windows Yerel Güvenlik Otoritesi Subsystem (Lsass.exe) "konumundan çalınan blok kimlik bilgisi, yapılandırılmamış ve varsayılan modun bloke olarak ayarlanmasından değiştirilecektir. Diğer tüm ASR kuralları Varsayılan durumlarında kalır: yapılandırılmamış., "Microsoft, ASR kuralındaki güncellenmiş belgede açıklanmıştır.
"Ek filtreleme mantığı, son kullanıcı bildirimlerini azaltmak için kuralda zaten dahil edilmiştir. Müşteriler, varsayılan modu geçersiz kılacak, bu kuralın işlevselliği, kuralın olup olmadığı aynıdır. On-varsayılan modda yapılandırılmış veya blok modunu manuel olarak etkinleştirirseniz. "
Saldırı yüzey azaltma kuralları yanlış pozitifler ve olay günlüklerinde çok fazla gürültü getirme eğiliminde olduğu için, Microsoft daha önce varsayılan olarak güvenlik özelliğini etkinleştirmemişti.
Bununla birlikte, Microsoft yakın zamanda, yöneticiler tarafından kullanılan ortak özellikleri ve saldırı yüzeylerini artıran Windows kullanıcıları tarafından kullanılan ortak özellikleri kaldırarak güvenliği seçmeye başladı.
Örneğin, Microsoft yakın zamanda, indirilen ofis belgelerinde VBA makrolarının Nisan ayında Office uygulamaları dahilinde etkinleştirilmesini engelleyeceklerini açıkladı ve kötü amaçlı yazılım için popüler bir dağıtım yöntemini öldürdü.
Bu hafta, Microsoft'un, tehdit aktörlerinin genellikle kötü amaçlı yazılım yüklemek ve komutları çalıştırmak için kullandığı WMIC aracının kullanımdan kaldırılmasını da öğrendik.
ASR kuralını varsayılan olarak etkinleştirirken, Windows kimlik bilgilerinin çalınmasını önemli ölçüde etkileyecektir, herhangi bir şekilde gümüş bir kurşun değildir.
Bunun nedeni, tam saldırı yüzey azaltma özelliğinin yalnızca Microsoft Defender'ı birincil antivirüs olarak çalıştıran Windows kurumsal lisanslarında desteklenmesidir. Bununla birlikte, BleepingComputer'ın testleri LSASS ASR kuralının Windows 10 ve Windows 11 Pro müşterilerinde de çalıştığını göstermektedir.
Ne yazık ki, başka bir antivirüs çözeltisi takıldıktan sonra, ASR hemen cihazda devre dışı bırakılır.
Ayrıca, güvenlik araştırmacıları, tehdit aktörlerinin ASR kurallarını atlamak ve LSASS işlemini boşaltmaya devam etmeye devam eden bu dosya adları / dizinlerinden araçlarını çalıştırmalarını sağlayan yerleşik Microsoft Defender Dışlama Yollarını keşfetti.
ASR ROAD LSASS, varsayılan olarak açıktır, ancak bunun gümüş bir mermi olmadığını, bunun etrafındaki birçok yol olmadığını unutmayın ... Bu benim favorilerimden biri olmalı pic.twitter.com/fuqyj3zcan
Mimikatz Geliştirici Benjamin Delpy, Microsoft'un muhtemelen bu yerleşik dışlamaları başka bir kural için eklediğini söyledi, ancak dışlamaları tüm kuralları etkilediği için LSASS kısıtlamasını atlar.
"Örneğin, bir dizini kuraldan çıkarmak istiyorlarsa," Yürütülebilir dosyaları, bir prevalansı, yaşı veya güvenilir liste kriterini karşılamadıkları sürece çalıştırılmasından, "bu kuralın yalnızca ASR'nin tamamı için mümkün değildir. KURALLAR ... LSASS ACCESS dahil ", Delpy, yaklaşmakta olan değişikliklerle ilgili bir konuşmada BleepingComputer'a açıklandı.
Bununla birlikte, tüm bu konularda bile, Delpy bu değişikliği Microsoft tarafından öne çıkan büyük bir adım olarak görür ve bir tehdit aktörünün Windows kimlik bilgilerini çalma kabiliyetini önemli ölçüde etkileyeceğine inanıyor.
"Yıllarca (onlardır mı?) İstediğimiz bir şey. Bu iyi bir adım ve internetten gelince varsayılan olarak bunu varsayılan olarak devre dışı bıraktığımızı görmekten çok mutluyum. Şimdi Gerçek Dünya Saldırıları ile ilgili önlemleri görmeye başladık, "Delpy devam etti.
"LSASS işlemini açan bir süreci desteklemek için meşru bir neden yok ... sadece buggy / mirası / berbat ürünleri desteklemek için - çoğu zaman - kimlik doğrulama ile ilgili: ')."
BleepingComputer, bu kuralın varsayılan olarak etkinleştirileceği ancak geri dönmediği zaman daha fazla bilgi edinmek için Microsoft'a ulaştı.
Microsoft Düzeltici Defender Kusurları Hacker'lar Bypass Antivirus Taramalarını Bypass
Microsoft Şubat 2022 Yama Salı Düzeltmeler 48 Kusurlar, 1 Sıfır Günü
Microsoft Ocak 2022 Yama Salı Düzeltmeler 6 Sıfır Gün, 97 Kusurlar
Azure, 365 ve Windows, bu eğitim paketi ile sizin için çalışın
Microsoft Powertoys fare ekler ve Dosya Gezgini Yardımcı Programları
Kaynak: Bleeping Computer