微软正在启用微软防御系统';攻击面减少';默认情况下阻止黑客的安全规则';试图从LSASS进程窃取Windows凭据。
当威胁参与者破坏网络时,他们试图通过窃取凭据或利用漏洞从侧面传播到其他设备。
窃取Windows凭据的最常见方法之一是在受损设备上获得管理员权限,然后转储Windows中运行的本地安全授权服务器服务(LSASS)进程的内存。
此内存转储包含登录到计算机的用户的Windows凭据的NTLM哈希,这些用户可以被强制使用明文密码,或用于通过哈希攻击登录到其他设备。
下面展示了威胁参与者如何使用流行的Mimikatz程序从LSASS中转储NTLM哈希。
虽然Microsoft Defender会阻止Mimikatz等程序,但LSASS内存转储仍然可以传输到远程计算机以转储凭据,而无需担心被阻止。
为了防止威胁参与者滥用LSASS内存转储,微软引入了防止访问LSASS进程的安全功能。
其中一个安全特性是Credential Guard,它将LSASS进程隔离在虚拟化容器中,以防止其他进程访问它。
但是,此功能可能会导致与驱动程序或应用程序发生冲突,导致某些组织无法启用它。
作为一种缓解Windows凭据盗窃而不引起凭据保护引入的冲突的方法,微软将很快在默认情况下启用Microsoft Defender攻击面减少(ASR)规则。
规则';阻止从Windows本地安全授权子系统&39窃取凭据;防止进程打开LSASS进程并转储其内存,即使它具有管理权限。
这一新变化是安全研究员科斯塔斯在本周发现的,他发现了微软的一个更新';s ASR规则文档。
"攻击面缩减(ASR)规则“阻止从Windows本地安全授权子系统(lsass.exe)窃取凭据”的默认状态将从未配置更改为已配置,默认模式设置为阻止。所有其他ASR规则将保持默认状态:未配置" 微软在更新的文件中解释了ASR规则。
"规则中已经加入了额外的过滤逻辑,以减少最终用户通知。客户可以将规则配置为审核、警告或禁用模式,这将覆盖默认模式。此规则的功能是相同的,无论该规则是在默认打开模式下配置的,还是在手动启用块模式下配置的"
由于攻击面减少规则往往会在事件日志中引入误报和大量噪音,因此微软之前默认情况下没有启用安全功能。
然而,微软最近开始以牺牲便利性为代价,通过删除管理员和Windows用户使用的增加攻击面的常见功能来选择安全性。
例如,微软最近宣布,他们将在4月份禁止在Office应用程序中启用下载的Office文档中的VBA宏,从而扼杀了一种流行的恶意软件分发方法。
本周,我们还了解到,微软已经开始弃用WMIC工具,该工具通常用于安装恶意软件和运行命令。
虽然默认情况下启用ASR规则将显著影响Windows凭据的窃取,但无论如何它都不是一个灵丹妙药。
这是因为只有运行Microsoft Defender作为主要防病毒软件的Windows Enterprise许可证才支持完整的攻击面减少功能。然而,BleepingComputer';s测试表明,LSASS ASR规则也适用于Windows 10和Windows 11 Pro客户端。
此外,安全研究人员还发现了内置的Microsoft Defender排除路径,允许威胁参与者从这些文件名/目录运行工具,以绕过ASR规则并继续转储LSASS进程。
默认情况下,将启用ASR规则来强化LSASS,但请记住,这不是';不是银弹,有很多方法可以解决这个问题。。。这一定是我最喜欢的照片之一。啁啾com/fuQYJ3ZcAn
-亚当·切斯特(Adam Chester)2022年2月9日
Mimikatz开发者Benjamin Delpy告诉BleepingComputer,微软可能为另一条规则添加了这些内置排除,但由于排除会影响所有规则,它绕过了LSASS限制。
"例如,如果他们想从规则中排除一个目录,";阻止可执行文件运行,除非它们符合流行率、年龄或受信任列表标准&34;它';只有这条规则是不可能的。排除适用于所有ASR规则。。。包括LSASS访问和#34;,Delpy在一次关于即将到来的变化的对话中向BleepingComputer解释。
然而,尽管存在所有这些问题,Delpy认为这一变化是微软向前迈出的重要一步,并认为它将对威胁参与者产生重大影响;s窃取Windows凭据的能力。
"它';这是我们多年(几十年?)来一直要求的。它';这是一个很好的步骤,我';I’我很高兴看到从互联网上下载时,+宏被默认禁用。我们现在开始看到与现实世界中的攻击真正相关的措施;德尔比继续说。
"没有正当理由支持打开LSASS进程的进程。。。仅支持与身份验证相关的错误/遗留/蹩脚产品(大多数情况下:';)"
BleepingComputer已联系微软,以了解更多有关默认情况下何时启用此规则的信息,但尚未得到回复。