Microsoft Defender zacznie chronić przed kradzieżą haseł

Microsoft, zupełnie po cichu, zmodyfikował dokumentację reguł redukcyjnych antywirusa Defender. Wkrótce ma on domyślnie blokować próby kradzieży haseł z systemowej bazy LSA. To korzystna, ale dziwna decyzja.

Przypomnijmy: Microsoft/Windows Defender od kilku lat zawiera wbudowaną i domyślnie wyłączoną funkcję redukowania potencjalnych obszarów ataku w wykonaniu złośliwego oprogramowania. Włącza się ją poprzez odblokowanie reguł ASR ("reguł zmniejszania obszaru ataków", zwanych czasem regułami redukcyjnymi. Są one bardzo ciekawe i rzeczywiście chronią przed złośliwymi czynnościami. Defender oferuje ich obecnie 16.

Najbardziej wartościowe z nich dotyczą pakietu Office. Możliwe jest zablokowanie możliwości tworzenia procesów potomnych przez aplikacje pakietu, zapisywania przez pakiet plików zawierających kod wykonywalny oraz wołania Windows API. W połączeniu z regułami dotyczącymi Hosta Skryptów, zakazującymi Visual Basicowi uruchamiać kod z internetu oraz wykonywać skryptu uznane za zaciemnione, tak skonfigurowany Defender w praktyce eliminuje całą klasę ataków opartą o makra.

Reguły te są oczywiście wyłączone z powodu zgodności. A także ze względu na dziwne licencjonowanie. ASR jest "obsługiwane" tylko w abonamentowym pakiecie rozszerzonego Defendera, a prosta metoda jego włączenia istnieje tylko w Endpoint Managerze (Intune, SCCM itp.). Z tym, że... da się je włączyć samodzielnie i wydają się działać. Czyżby chodziło o to, że nie jest dla nich wtedy świadczona pomoc techniczna? Skąd nagle wola szerszego wdrożenia ASR?

Choć reguły dotyczące makr są wyłączone, pewna inna reguła stanie się domyślnie aktywna. Chodzi o blokadę ekstrahowania poświadczeń z komponentu LSASS. Mając dane LSASS można logować się jako usługa, a także dokonywać poziomego ruchu w sieci domenowej. O ile makra to typowy wektor infekcji, kradzież poświadczeń to typowy sposób rozprzestrzeniania się. Tą drogą da się wyłożyć sieć w całej firmie, forsując tylko jeden komputer.

Teoretycznie to, co robi ta reguła, zapewnia też Credential Guard, ale wymaga on zgodnych sterowników i jest bardziej brutalny. Zazwyczaj jest wyłączony, a dopiero Windows 11 zapewnia swoimi wymaganiami to, że jego włączenie w ogóle jest wykonalne na komputerze.

Włączona ochrona LSA na pewno zwiększy bezpieczeństwo Windows. Czy nie czas, by Microsoft włączył pozostałe reguły? Wszak ransomware nie odpuszcza, a metody jakimi infekuje on sieci często wcale nie są specjalnie skomplikowane...