Secondo AV-TEST, Microsoft Defender offre una sicurezza simile o superiore a soluzioni più blasonate. L’azienda di Redmond ha introdotto una novità che permette di bloccare il furto delle credenziali di Windows dalla memoria. Sebbene sia specifica per le versioni Enterprise del sistema operativo, la nuova funzionalità è supportata anche dalle versioni Pro di Windows 10 e 11.
Attack Surface Reduction
Molto spesso i cybercriminali sfruttano le vulnerabilità software per eseguire i cosiddetti “attacchi laterali”. Ad esempio, dopo aver compromesso una rete cercano di rubare le password conservate su altri dispositivi. Uno dei metodi più usati per rubare le credenziali di Windows è ottenere i privilegi di amministratore e quindi effettuare il dump della memoria del processo Local Security Authority Server Service (LSASS).
Il dump, che contiene gli hash NTLM (New Technology LAN Manager) delle credenziali usate dagli utenti per il login, può essere effettuato con il popolare tool Mimikatz. Quest’ultimo viene bloccato da Microsoft Defender, ma il dump può essere trasferito ad un computer remoto per un attacco di forza bruta.
La funzionalità Credential Guard isola il processo LSASS per impedire l’accesso e l’estrazione delle credenziali, ma alcune aziende non possono abilitarlo a causa di incompatibilità con applicazioni e driver. Microsoft ha quindi introdotto la regola Attack Surface Reduction (ASR) per Defender for Endpoint che blocca il furto delle credenziali dal processo LSASS.
La regola è attiva per impostazione predefinita, nonostante possa causare falsi positivi e numerosi log nel Visualizzatore eventi. Purtroppo, la regola viene automaticamente disattivata quando l’utente installa un altro antivirus. Inoltre, i malintenzionati possono sempre sfruttare la lista esclusioni di Defender per aggirare il blocco. La soluzione è comunque un buon passo avanti rispetto al passato.