Kaydol

Merhaba Sevgili Floodlar.com Kullanıcısı, Web sitemizde geçirdiğiniz zaman ve bu büyüleyici flood evrenine katılımınız için teşekkür ederiz. Floodların geniş dünyasıyla dolu deneyiminizi daha fazla keşfetmek için, web sitemizi sınırsız olarak kullanabilmeniz adına giriş yapmanız gerekmektedir.

Oturum aç

Merhaba Floodlar.com Kullanıcısı, İlk üç sayfayı tamamladınız, tebrikler! Ancak, floodların devamını görmek ve daha fazla interaktif deneyim yaşamak için giriş yapmanız gerekiyor. Hesabınız yoksa, hızlıca oluşturabilirsiniz. Sınırsız floodlar ve etkileşimler sizleri bekliyor. Giriş yapmayı unutmayın!

Şifremi hatırlamıyorum

Şifreniz mi unuttunuz? Endişelenmeyin! Lütfen kayıtlı e-posta adresinizi giriniz. Size bir bağlantı göndereceğiz ve bu link üzerinden yeni bir şifre oluşturabileceksiniz.

Fil Necati Masonlar Locası Subreddit Adı Nedir? Cevap: ( N31 )

Üzgünüz, flood girme izniniz yok, Flood girmek için giriş yapmalısınız.

Lütfen bu Floodun neden bildirilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Lütfen bu cevabın neden bildirilmesi gerektiğini kısaca açıklayın.

Lütfen bu kullanıcının neden rapor edilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Mobil Uygulamada Açın

Güncel Floodlar En sonuncu Nesne

Microsoft, Windows parolalarını bellekten çalmayı zorlaştırıyor

Microsoft, Windows parolalarını bellekten çalmayı zorlaştırıyor

Microsoft, bilgisayar korsanlarının LSASS işleminden Windows kimlik bilgilerini çalma girişimlerini engellemek için varsayılan olarak bir Microsoft Defender ‘Yüzey Azaltma Saldırısı’ güvenlik kuralını etkinleştiriyor.

Tehdit aktörleri bir ağı tehlikeye attığında, kimlik bilgilerini çalarak veya açıklardan yararlanarak yanal olarak diğer cihazlara yayılmaya çalışırlar.

Windows kimlik bilgilerini çalmanın en yaygın yöntemlerinden biri, güvenliği ihlal edilmiş bir cihazda yönetici ayrıcalıkları kazanmak ve ardından Windows’ta çalışan Yerel Güvenlik Yetkilisi Sunucu Hizmeti (LSASS) işleminin belleğini boşaltmaktır.

Bu bellek dökümü, bilgisayarda oturum açmış olan ve açık metin parolaları için kaba kuvvet uygulanabilen veya parolalarda kullanılabilen Windows kimlik bilgilerinin NTLM karmalarını içerir. Hash saldırıları diğer cihazlara giriş yapmak için

Tehdit aktörlerinin popüler Mimikatz programını LSASS’den NTLM karmalarını boşaltmak için nasıl kullanabileceğinin bir gösterimi aşağıda gösterilmiştir.

Mimikatz kullanarak LSASS deump'tan NTLM kimlik bilgilerini boşaltma
Mimikatz kullanarak LSASS deump’tan NTLM kimlik bilgilerini boşaltma
Kaynak: BleepingComputer

Microsoft Defender, Mimikatz gibi programları engellese de, bir LSASS bellek dökümü, engellenme korkusu olmadan kimlik bilgilerini boşaltmak için uzak bir bilgisayara aktarılabilir.

Microsoft Defender’ın ASR’si kurtarmaya geliyor

Tehdit aktörlerinin LSASS bellek dökümlerini kötüye kullanmasını önlemek için Microsoft, LSASS işlemine erişimi engelleyen güvenlik özelliklerini kullanıma sunmuştur.

Bu güvenlik özelliklerinden biri, LSASS işlemini diğer işlemlerin ona erişmesini engelleyen sanallaştırılmış bir kapsayıcıda yalıtan Credential Guard’dır.

Ancak bu özellik, sürücüler veya uygulamalarla çakışmalara yol açarak bazı kuruluşların bunu etkinleştirmemesine neden olabilir.

Windows kimlik bilgileri hırsızlığını, Credential Guard tarafından sunulan çakışmalara neden olmadan azaltmanın bir yolu olarak Microsoft, yakında bir Microsoft Defender’ı etkinleştirecek. Saldırı Yüzeyi Azaltma (ASR) kuralı varsayılan olarak.

‘Windows yerel güvenlik yetkilisi alt sisteminden kimlik bilgilerinin çalınmasını engelle’ kuralı, işlemlerin LSASS işlemini açmasını ve yönetici ayrıcalıklarına sahip olsa bile belleğini boşaltmasını engeller.

ASR kuralı, Process Explorer'ın LSASS sürecini boşaltmasını engelliyor
ASR kuralı, Process Explorer’ın LSASS sürecini boşaltmasını engelliyor
Kaynak: BleepingComputer

Bu yeni değişiklik, bu hafta keşfedildi güvenlik araştırmacısı tarafından Kostas Microsoft’un ASR kuralları belgelerinde bir güncelleme tespit eden kişi.

“Saldırı Yüzeyini Azaltma (ASR) kuralının varsayılan durumu “Windows yerel güvenlik yetkilisi alt sisteminden (lsass.exe) kimlik bilgilerinin çalınmasını engelle” şeklinde değişecektir. Ayarlanmamış ile yapılandırılmış ve varsayılan mod olarak ayarlandı Engellemek. Diğer tüm ASR kuralları varsayılan durumlarında kalacaktır: Ayarlanmamış.,” Microsoft’un güncellenmiş belgede açıklanmıştır ASR kuralına göre.

“Son kullanıcı bildirimlerini azaltmak için kurala ek filtreleme mantığı zaten dahil edilmiştir. Müşteriler kuralı şu şekilde yapılandırabilir: Denetim, Uyarmak veya Engelli varsayılan modu geçersiz kılacak modlar. Bu kuralın işlevi, ister varsayılan olarak açık modunda yapılandırılsın, ister Engelleme modunu manuel olarak etkinleştirin, bu kuralın işlevi aynıdır. “

Saldırı Yüzeyi Azaltma kuralları, Olay Günlüklerinde yanlış pozitifler ve çok fazla gürültü getirme eğiliminde olduğundan, Microsoft daha önce güvenlik özelliğini varsayılan olarak etkinleştirmemişti.

Ancak Microsoft, son zamanlarda Yöneticiler ve Windows kullanıcıları tarafından kullanılan ve saldırı yüzeylerini artıran ortak özellikleri kaldırarak kolaylık pahasına güvenliği seçmeye başladı.

Örneğin, Microsoft kısa süre önce yapacaklarını duyurdu. indirilen Office belgelerinde VBA makrolarını engelle Nisan ayında Office uygulamalarında etkinleştirilmesi, kötü amaçlı yazılımlar için popüler bir dağıtım yöntemini ortadan kaldırıyor.

Bu hafta, Microsoft’un da WMIC aracının kullanımdan kaldırılmasına başladı tehdit aktörlerinin genellikle kötü amaçlı yazılım yüklemek ve komutları çalıştırmak için kullandıkları.

Mükemmel bir çözüm değil ama harika bir başlangıç

ASR kuralını varsayılan olarak etkinleştirmek, Windows kimlik bilgilerinin çalınmasını önemli ölçüde etkileyecek olsa da, hiçbir şekilde gümüş kurşun değildir.

Bunun nedeni, tam Saldırı Yüzeyi Azaltma özelliğinin yalnızca birincil antivirüs olarak Microsoft Defender çalıştıran Windows Enterprise lisanslarında desteklenmesidir. Ancak BleepingComputer’ın testleri, LSASS ASR kuralının Windows 10 ve Windows 11 Pro istemcilerinde de çalıştığını gösteriyor.

Ne yazık ki, başka bir virüsten koruma çözümü yüklendiğinde, cihazda ASR hemen devre dışı bırakılır.

Ayrıca, güvenlik araştırmacıları, tehdit aktörlerinin araçlarını bu dosya adlarından/dizinlerden çalıştırarak ASR kurallarını atlamasına ve LSASS sürecini boşaltmaya devam etmesine olanak tanıyan yerleşik Microsoft Defender dışlama yollarını keşfetti.

Mimikatz geliştiricisi Benjamin Delpy, BleepingComputer’a Microsoft’un bu yerleşik dışlamaları muhtemelen başka bir kural için eklediğini, ancak dışlamalar etkilediği için TÜMÜ kuralları, LSASS kısıtlamasını atlar.

“Örneğin, bir dizini kuralın dışında tutmak istiyorlarsa, “Bir yaygınlık, yaş veya güvenilen liste ölçütünü karşılamadıkları sürece yürütülebilir dosyaların çalışmasını engelle” yalnızca bu kural için mümkün değildir. Hariç tutma ASR’nin TÜMÜ içindir. kurallar… LSASS erişimi dahil”, Delpy BleepingComputer’a yaklaşan değişiklikler hakkında bir konuşmada açıkladı.

Ancak, tüm bu sorunlara rağmen, Delpy bu değişikliği Microsoft tarafından ileriye doğru atılmış büyük bir adım olarak görüyor ve bir tehdit aktörünün Windows kimlik bilgilerini çalma yeteneğini önemli ölçüde etkileyeceğine inanıyor.

“Yıllarca (onlarca yıldır) istediğimiz bir şey. Bu iyi bir adım ve İnternet’ten gelirken + Makro’nun varsayılan olarak devre dışı bırakıldığını görmekten çok mutluyum. Artık gerçek dünya saldırılarıyla gerçekten ilgili önlemleri görmeye başlıyoruz, “Devam etti Delpy.

“LSASS sürecini açan bir süreci desteklemek için meşru bir neden yok… yalnızca hatalı / eski / berbat ürünleri desteklemek için – çoğu zaman – kimlik doğrulamayla ilgili :’).”

BleepingComputer, bu kuralın varsayılan olarak ne zaman etkinleştirileceği hakkında daha fazla bilgi edinmek için Microsoft’a ulaştı, ancak herhangi bir yanıt alamadı.

İlgili Mesajlar

Yorum eklemek için giriş yapmalısınız.