Furto di password di Windows: Microsoft alza gli scudi di Defender

L’impostazione predefinita di una regola di Microsoft Defender dovrebbe proteggere meglio dal furto di password durante i cyber attacchi.

Tecnologie/Scenari

Il furto di credenziali degli utenti Microsoft è una delle attività criminali più diffuse e pericolose, tanto che il gigante di Redmond ha deciso di contrastarlo con un intervento mirato su Microsoft Defender. Il fatto è che il furto di credenziali è un indispensabile anello della lunga e complessa catena di attacco a una rete aziendale. Neanche a dirlo, sono quelle dei sistemi Windows le più bersagliate, banalmente perché si tratta del sistema operativo più diffuso nelle aziende.

Per tutelare i propri clienti Microsoft ha annunciato l’abilitazione per default di una regola di sicurezza di Defender: Attack Surface Reduction. Questo accorgimento dovrebbe di fatto bloccare i tentativi di rubare le credenziali di Windows dal processo LSASS.

Local Security Authority Server Service

Quando un attaccante compromette una rete, per diffondersi lateralmente ad altri dispositivi necessita delle credenziali di amministrazione o di un exploit funzionante. La strada più battuta è la prima, e passa spesso per il processo LSASS - acronimo di Local Security Authority Server Service.

Dopo avere eseguito il primo accesso in rete, il dump della memoria del processo LSASS dà accesso all’hash NTLM delle credenziali usate dai legittimi utenti di Windows per l'accesso al computer. Tali hash possono essere forzati per ottenere le password, o sfruttati in attacchi Pass-the-Hash per ottenere l’accesso ad altri dispositivi.


Bloccare l’accesso al processo LSASS equivale potenzialmente a rendere meno efficace un attacco, o per lo meno a complicare la vita agli attaccanti. A tal proposito esiste già una funzionalità di sicurezza soprannominata Credential Guard, che isola il processo LSASS in un container virtualizzato impedendo ad altri processi di accedervi. Il guaio è che poche aziende lo attivano perché può causare conflitti con driver o applicazioni.

Microsoft ha quindi studiato una soluzione per ottenere il beneficio di Credential Guard, senza causare i conflitti che hanno finora penalizzato l’uso di Credential Guard. La risposta è una regola chiamata Block credential stealing from the Windows local security authority subsystem nel Microsoft Defender Attack Surface Reduction (ASR). È già abilitata per impostazioni predefinita e impedisce ai processi di aprire LSASS e di scaricare la sua memoria, anche se si dispone di privilegi amministrativi.

L’abilitazione è stata portata avanti senza pubblicità. A scoprirla è stato un ricercatore di sicurezza, che l’ha scovata nella documentazione. Si tratta di un filtro aggiuntivo che non richiede alcuna impostazione e che alza le difese informatiche. Esattamente come l’iniziativa di disabilitare per default le macro di Office.

Un aiuto, non una bacchetta magica

Prima di farsi false illusioni, è bene sapere che la regola di Attack Surface Reduction non è invincibile. È un importante passo avanti da parte di Microsoft e potrebbe avere un impatto significativo sulla capacità di un attaccante di rubare le credenziali di Windows.

Tuttavia, ha dei limiti. Prima di tutto, la funzionalità completa di riduzione della superficie di attacco è supportata solo nelle licenze Windows Enterprise che eseguono Microsoft Defender come antivirus principale. Qualora l’azienda installasse un antimalware di terze parti, ASR verrebbe automaticamente disabilitato.

Inoltre, esistono soluzioni elusive per bypassare Microsoft Defender, e con esso tutte le regole ASR che impediscono l’accesso ai dati del processo LSASS.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Speciali Tutti gli speciali

Speciale

Threat Intelligence

Speciale

Cloud Security

Speciale

Cybertech Europe 2022

Speciale

Backup e protezione dei dati

Speciale

Cyber security: dentro o fuori?

Calendario Tutto

Ott 12
Business Continuity in IperConvergenza per l’Edge e la PMI
Ott 18
IT CON 2022 - Milano
Ott 19
IDC Future of Data 2022
Ott 20
SAP NOW 2022
Ott 20
Dell Technologies Forum 2022
Ott 20
IT CON 2022 - Roma
Nov 03
Exclusive Tech Experience 2022 - Milano
Nov 08
Red Hat Summit Connect - Roma
Nov 08
Exclusive Tech Experience 2022 - Roma

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter