Il furto di credenziali degli utenti Microsoft è una delle attività criminali più diffuse e pericolose, tanto che il gigante di Redmond ha deciso di contrastarlo con un intervento mirato su Microsoft Defender. Il fatto è che il furto di credenziali è un indispensabile anello della lunga e complessa catena di attacco a una rete aziendale. Neanche a dirlo, sono quelle dei sistemi Windows le più bersagliate, banalmente perché si tratta del sistema operativo più diffuso nelle aziende.

Per tutelare i propri clienti Microsoft ha annunciato l’abilitazione per default di una regola di sicurezza di Defender: Attack Surface Reduction. Questo accorgimento dovrebbe di fatto bloccare i tentativi di rubare le credenziali di Windows dal processo LSASS.

Local Security Authority Server Service

Quando un attaccante compromette una rete, per diffondersi lateralmente ad altri dispositivi necessita delle credenziali di amministrazione o di un exploit funzionante. La strada più battuta è la prima, e passa spesso per il processo LSASS - acronimo di Local Security Authority Server Service.

Dopo avere eseguito il primo accesso in rete, il dump della memoria del processo LSASS dà accesso all’hash NTLM delle credenziali usate dai legittimi utenti di Windows per l'accesso al computer. Tali hash possono essere forzati per ottenere le password, o sfruttati in attacchi Pass-the-Hash per ottenere l’accesso ad altri dispositivi.

Bloccare l’accesso al processo LSASS equivale potenzialmente a rendere meno efficace un attacco, o per lo meno a complicare la vita agli attaccanti. A tal proposito esiste già una funzionalità di sicurezza soprannominata Credential Guard, che isola il processo LSASS in un container virtualizzato impedendo ad altri processi di accedervi. Il guaio è che poche aziende lo attivano perché può causare conflitti con driver o applicazioni.

Microsoft ha quindi studiato una soluzione per ottenere il beneficio di Credential Guard, senza causare i conflitti che hanno finora penalizzato l’uso di Credential Guard. La risposta è una regola chiamata Block credential stealing from the Windows local security authority subsystem nel Microsoft Defender Attack Surface Reduction (ASR). È già abilitata per impostazioni predefinita e impedisce ai processi di aprire LSASS e di scaricare la sua memoria, anche se si dispone di privilegi amministrativi.

L’abilitazione è stata portata avanti senza pubblicità. A scoprirla è stato un ricercatore di sicurezza, che l’ha scovata nella documentazione. Si tratta di un filtro aggiuntivo che non richiede alcuna impostazione e che alza le difese informatiche. Esattamente come l’iniziativa di disabilitare per default le macro di Office.

Un aiuto, non una bacchetta magica

Prima di farsi false illusioni, è bene sapere che la regola di Attack Surface Reduction non è invincibile. È un importante passo avanti da parte di Microsoft e potrebbe avere un impatto significativo sulla capacità di un attaccante di rubare le credenziali di Windows.

Tuttavia, ha dei limiti. Prima di tutto, la funzionalità completa di riduzione della superficie di attacco è supportata solo nelle licenze Windows Enterprise che eseguono Microsoft Defender come antivirus principale. Qualora l’azienda installasse un antimalware di terze parti, ASR verrebbe automaticamente disabilitato.

Inoltre, esistono soluzioni elusive per bypassare Microsoft Defender, e con esso tutte le regole ASR che impediscono l’accesso ai dati del processo LSASS.