Microsoft, bilgisayar korsanlarının LSASS işleminden Windows kimlik bilgilerini çalma girişimlerini engellemek için varsayılan olarak bir Microsoft Defender ‘Yüzey Azaltma Saldırısı’ güvenlik kuralını etkinleştiriyor.
Tehdit aktörleri bir ağı tehlikeye attığında, kimlik bilgilerini çalarak veya açıklardan yararlanarak yanal olarak diğer cihazlara yayılmaya çalışırlar.
Windows kimlik bilgilerini çalmanın en yaygın yöntemlerinden biri, güvenliği ihlal edilmiş bir cihazda yönetici ayrıcalıkları kazanmak ve ardından Windows’ta çalışan Yerel Güvenlik Yetkilisi Sunucu Hizmeti (LSASS) işleminin belleğini boşaltmaktır.
Bu bellek dökümü, bilgisayarda oturum açmış olan ve açık metin parolaları için kaba kuvvet uygulanabilen veya parolalarda kullanılabilen Windows kimlik bilgilerinin NTLM karmalarını içerir. Hash saldırıları diğer cihazlara giriş yapmak için
Tehdit aktörlerinin popüler Mimikatz programını LSASS’den NTLM karmalarını boşaltmak için nasıl kullanabileceğinin bir gösterimi aşağıda gösterilmiştir.
Microsoft Defender, Mimikatz gibi programları engellese de, bir LSASS bellek dökümü, engellenme korkusu olmadan kimlik bilgilerini boşaltmak için uzak bir bilgisayara aktarılabilir.
Microsoft Defender’ın ASR’si kurtarmaya geliyor
Tehdit aktörlerinin LSASS bellek dökümlerini kötüye kullanmasını önlemek için Microsoft, LSASS işlemine erişimi engelleyen güvenlik özelliklerini kullanıma sunmuştur.
Bu güvenlik özelliklerinden biri, LSASS işlemini diğer işlemlerin ona erişmesini engelleyen sanallaştırılmış bir kapsayıcıda yalıtan Credential Guard’dır.
Ancak bu özellik, sürücüler veya uygulamalarla çakışmalara yol açarak bazı kuruluşların bunu etkinleştirmemesine neden olabilir.
Windows kimlik bilgileri hırsızlığını, Credential Guard tarafından sunulan çakışmalara neden olmadan azaltmanın bir yolu olarak Microsoft, yakında bir Microsoft Defender’ı etkinleştirecek. Saldırı Yüzeyi Azaltma (ASR) kuralı varsayılan olarak.
‘Windows yerel güvenlik yetkilisi alt sisteminden kimlik bilgilerinin çalınmasını engelle’ kuralı, işlemlerin LSASS işlemini açmasını ve yönetici ayrıcalıklarına sahip olsa bile belleğini boşaltmasını engeller.
Bu yeni değişiklik, bu hafta keşfedildi güvenlik araştırmacısı tarafından Kostas Microsoft’un ASR kuralları belgelerinde bir güncelleme tespit eden kişi.
“Saldırı Yüzeyini Azaltma (ASR) kuralının varsayılan durumu “Windows yerel güvenlik yetkilisi alt sisteminden (lsass.exe) kimlik bilgilerinin çalınmasını engelle” şeklinde değişecektir. Ayarlanmamış ile yapılandırılmış ve varsayılan mod olarak ayarlandı Engellemek. Diğer tüm ASR kuralları varsayılan durumlarında kalacaktır: Ayarlanmamış.,” Microsoft’un güncellenmiş belgede açıklanmıştır ASR kuralına göre.
“Son kullanıcı bildirimlerini azaltmak için kurala ek filtreleme mantığı zaten dahil edilmiştir. Müşteriler kuralı şu şekilde yapılandırabilir: Denetim, Uyarmak veya Engelli varsayılan modu geçersiz kılacak modlar. Bu kuralın işlevi, ister varsayılan olarak açık modunda yapılandırılsın, ister Engelleme modunu manuel olarak etkinleştirin, bu kuralın işlevi aynıdır. “
Saldırı Yüzeyi Azaltma kuralları, Olay Günlüklerinde yanlış pozitifler ve çok fazla gürültü getirme eğiliminde olduğundan, Microsoft daha önce güvenlik özelliğini varsayılan olarak etkinleştirmemişti.
Ancak Microsoft, son zamanlarda Yöneticiler ve Windows kullanıcıları tarafından kullanılan ve saldırı yüzeylerini artıran ortak özellikleri kaldırarak kolaylık pahasına güvenliği seçmeye başladı.
Örneğin, Microsoft kısa süre önce yapacaklarını duyurdu. indirilen Office belgelerinde VBA makrolarını engelle Nisan ayında Office uygulamalarında etkinleştirilmesi, kötü amaçlı yazılımlar için popüler bir dağıtım yöntemini ortadan kaldırıyor.
Bu hafta, Microsoft’un da WMIC aracının kullanımdan kaldırılmasına başladı tehdit aktörlerinin genellikle kötü amaçlı yazılım yüklemek ve komutları çalıştırmak için kullandıkları.
Mükemmel bir çözüm değil ama harika bir başlangıç
ASR kuralını varsayılan olarak etkinleştirmek, Windows kimlik bilgilerinin çalınmasını önemli ölçüde etkileyecek olsa da, hiçbir şekilde gümüş kurşun değildir.
Bunun nedeni, tam Saldırı Yüzeyi Azaltma özelliğinin yalnızca birincil antivirüs olarak Microsoft Defender çalıştıran Windows Enterprise lisanslarında desteklenmesidir. Ancak BleepingComputer’ın testleri, LSASS ASR kuralının Windows 10 ve Windows 11 Pro istemcilerinde de çalıştığını gösteriyor.
Ne yazık ki, başka bir virüsten koruma çözümü yüklendiğinde, cihazda ASR hemen devre dışı bırakılır.
Ayrıca, güvenlik araştırmacıları, tehdit aktörlerinin araçlarını bu dosya adlarından/dizinlerden çalıştırarak ASR kurallarını atlamasına ve LSASS sürecini boşaltmaya devam etmesine olanak tanıyan yerleşik Microsoft Defender dışlama yollarını keşfetti.
LSASS’ı sertleştirmek için ASR kuralı varsayılan olarak açıktır, ancak bunun gümüş bir kurşun olmadığını unutmayın, bunun etrafında birçok yol var… bu benim favorilerimden biri olmalı pic.twitter.com/fuQYJ3ZcAn
— Adam Chester (@_xpn_) 9 Şubat 2022
Mimikatz geliştiricisi Benjamin Delpy, BleepingComputer’a Microsoft’un bu yerleşik dışlamaları muhtemelen başka bir kural için eklediğini, ancak dışlamalar etkilediği için TÜMÜ kuralları, LSASS kısıtlamasını atlar.
“Örneğin, bir dizini kuralın dışında tutmak istiyorlarsa, “Bir yaygınlık, yaş veya güvenilen liste ölçütünü karşılamadıkları sürece yürütülebilir dosyaların çalışmasını engelle” yalnızca bu kural için mümkün değildir. Hariç tutma ASR’nin TÜMÜ içindir. kurallar… LSASS erişimi dahil”, Delpy yaklaşan değişiklikler hakkında bir konuşmada BleepingComputer’a açıkladı.
Ancak, tüm bu sorunlara rağmen, Delpy bu değişikliği Microsoft tarafından ileriye doğru atılmış büyük bir adım olarak görüyor ve bunun bir tehdit aktörünün Windows kimlik bilgilerini çalma yeteneğini önemli ölçüde etkileyeceğine inanıyor.
“Yıllarca (onlarca yıldır) istediğimiz bir şey. Bu iyi bir adım ve İnternet’ten gelirken + Makro’nun varsayılan olarak devre dışı bırakıldığını görmekten çok mutluyum. Artık gerçek dünya saldırılarıyla gerçekten ilgili önlemleri görmeye başlıyoruz, “Devam etti Delpy.
“LSASS sürecini açan bir süreci desteklemek için meşru bir neden yok… sadece hatalı / eski / berbat ürünleri desteklemek için – çoğu zaman – kimlik doğrulamayla ilgili :’).”
BleepingComputer, bu kuralın varsayılan olarak ne zaman etkinleştirileceği hakkında daha fazla bilgi edinmek için Microsoft’a ulaştı, ancak herhangi bir yanıt alamadı.