- A Microsoft está fortalecendo a segurança do Windows adicionando uma regra muito importante ao seu antivírus.
- Uma nova regra ASR está sendo introduzida no Microsoft Defender e foi projetada para impedir que aplicativos mal-intencionados extraiam senhas usadas no computador.
- A introdução da nova regra ASR faz parte dos esforços da Microsoft para tornar seu sistema operacional mais seguro, especialmente contra ataques de malware.
Se você está correndo Windows 11 ou uma versão recente do Windows Server, o antivírus Microsoft Defender que faz parte do sistema operacional agora pode impedir que suas senhas sejam roubadas.
O novo recurso foi introduzido por meio de uma regra ASR (Antimalware Scan Interface), que é um conjunto de regras usadas pelo Microsoft Defender para verificar arquivos e bloquear malware.
A regra usa aprendizado de máquina para identificar processos maliciosos que não precisam de acesso às funções LSA no Windows, mas estão tentando acessá-los de qualquer maneira.
Como o LSASS opera
O Local Security Authority Subsystem Service (LSASS) é um processo no Windows que lida com logins e outros tarefas relacionadas à segurança, portanto, uma vez que o malware tenha acesso às funções LSA, ele pode roubar credenciais da memória ou de outros métodos de Recursos de segurança do Windows.
O Credential Guard da Microsoft autentica os usuários que fazem login em um computador, protegendo o sistema com seu componente Defender. O problema disso é que nem todos os ambientes terão o Credential Guard habilitado, pois não é compatível com todos os programas.
O arquivo de despejo de memória que é criado quando um invasor viola o computador de um usuário pode conter a senha e o nome de usuário do usuário. Este arquivo é possível com o uso do Mimikatz, uma ferramenta especial desenvolvida para este fim.
Os invasores podem usar um processo legítimo que existe no sistema operacional para obter acesso total ao sistema e transmitir despejos de memória contendo credenciais para locais remotos.
O Defender não bloqueará esta ação porque o processo é legítimo e a ação não é prejudicial. O Defender detecta apenas o uso malicioso de processos e não pode impedir sua criação ou transmissão.
Atualizações do Microsoft Defender
A Microsoft abordou esse problema de segurança com a introdução de uma nova regra de segurança chamada Redução da superfície de ataque (RAS).
Essa regra impedirá que os programas abram o LSASS e, por sua vez, também os impedirá de criar o despejo de memória. Ele bloqueará o acesso ao LSASS mesmo se um programa com direitos elevados tentar abrir o processo.
Como apenas programas com privilégios de administrador podem abrir o LSASS, esse bloco também os impede de acessar outros processos protegidos que possam estar em execução no computador.
A regra também impede que o próprio processo protegido abra sua própria imagem, impossibilitando a captura ou modificação de dados na memória protegida.
Essa configuração padrão resulta na habilitação dessa regra ASR, enquanto todas as outras regras relacionadas a ela permanecem em seu estado padrão.
Vantagens e desvantagens
O Microsoft Defender usa um sistema de detecção que detecta malware conhecido e desconhecido, mas não é infalível. Os criadores de malware estão sempre procurando novas maneiras de proteger seus malwares de serem detectados.
Se, no entanto, você estiver usando um software antivírus de terceiros em seu computador, a regra ASR não estará disponível. A falta da regra ASR permite que hackers ignorem a restrição do Microsoft Defender, bem como seus caminhos de exclusão.
Um número de Pesquisadores de segurança do Windows já ignoraram a regra ASR para o Defender, explorando seus caminhos de exclusão para obter acesso ao arquivo Lsass.exe.
O relatório menciona que, como o Defender já possui várias exclusões em vigor - por exemplo, permite que certas usuários perguntem e respondam a solicitações de ASR — isso permite que hackers explorem essas regras enquanto descobrem novas maneiras de direcionar computadores.
Isso significa que apenas usuários nas versões Enterprise e Pro do Windows 11 serão protegidos pela regra ASR aprimorada.
No entanto, a nova regra ASR foi bem recebida pelos pesquisadores de segurança. Como torna o Windows um pouco mais seguro, quanto menos senhas roubadas houver, melhor, pois todos se beneficiarão disso.
A versão mais recente do Microsoft Defender, conhecido como Microsoft Defender Preview, oferece um painel onde você pode gerenciar a segurança de seus dispositivos.
A nova atualização do Microsoft Defender é promissora em termos de segurança do Windows, de acordo com você? Dê-nos seus pensamentos na seção de comentários abaixo.
