Microsoft працює над новою функцією для вбудованого антивірусу Microsoft Defender. Вона буде активна за замовчуванням і ускладнить крадіжку паролів на Windows.
Суб’єкти загроз зазвичай крадуть облікові дані або використовують різні експлойти, щоб переміщатися в уже скомпрометованій мережі. Один із способів зробити це – отримати доступ адміністратора, а потім скинути пам’ять процесу служби сервера локальної служби безпеки (LSASS), оскільки в ній зберігаються хеші NTLM облікових даних Windows.
Підписуйтесь на наш Telegram.
Для того, щоб приховати дампи пам’яті LSASS від сторонніх, Microsoft забороняє доступ до них за допомогою функції захисту облікових даних, яка ізолює процес у віртуалізованому контейнері.
Однак, як зазначає BleepingComputer, ця функція іноді призводить до конфліктів драйверів, тому багато організацій вважають за краще не включати її.
Щоб обійти цю проблему, корпорація Майкрософт за замовчуванням включить правило “Блокувати крадіжку облікових даних з підсистеми управління локальною безпекою Windows”. Воно не дозволяє процесам відкривати процес LSASS навіть з правами адміністратора.
Наразі це правило у Windows перебуває в стані «не налаштований». Воно зміниться на “налаштований”, а режим за замовчуванням буде встановлений на “блокувати”.