HOME    FORUMS    MEMBERS    RECENT POSTS    LOG IN  
Баннер 1   Баннер 2

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
Вернуться   Форум АНТИЧАТ > ИНФО > Мировые новости. Обсуждения.
Перезагрузить страницу Microsoft внедрила дополнительную защиту от кражи паролей Windows из памяти
   
 
 
Опции темы Поиск в этой теме Опции просмотра
Предыдущая Предыдущее сообщение   Следующее сообщение Следующая

  #1  
Старый 15.02.2022, 16:28
seostock
Guest
Сообщений: n/a
Провел на форуме:
507892

Репутация: 51
По умолчанию
Microsoft по умолчанию включила правило безопасности Защитника Windows Attack Surface Reduction (ASR) с целью блокировать попытки хакеров украсть учетные данные Windows из процесса LSASS.

Одним из наиболее распространенных способов кражи учетных данных Windows является получение прав администратора на скомпрометированном устройстве, а затем создание дампа памяти процесса Local Security Authority Server Service (LSASS) в Windows. Дамп памяти содержит NTLM-хэши учетных данных Windows пользователей, авторизованных в системе. Хэши могут быть взломаны для получения паролей в открытом виде или использованы в атаках Pass-the-Hash для авторизации на других устройствах.

В связи с этим Microsoft внедрила функции безопасности, предотвращающие доступ к процессу LSASS. Одной из таких функций является Credential Guard, которая изолирует процесс LSASS в виртуализированном контейнере, предотвращая доступ к нему других процессов. Однако данная функция может привести к конфликтам с драйверами или приложениями, из-за чего некоторые организации не будут ее включать.

Правило Block credential stealing from the Windows local security authority subsystem («Блокировать кражу учетных данных из подсистемы локального центра безопасности Windows») запрещает другим процессам открывать процесс LSASS и создавать дамп его памяти, даже при наличии административных привилегий.

Хотя включение правила ASR по умолчанию значительно уменьшит кражу учетных данных Windows, это ни в коем случае не панацея. Полная функция ASR поддерживается только в лицензиях Windows Enterprise, использующих Защитник Windows в качестве основного антивирусного ПО. К сожалению, после установки другого антивирусного решения ASR сразу отключается на устройстве.

Исследователи в области кибербезопасности обнаружили встроенные пути исключения Защитника Windows, позволяющие злоумышленникам запускать свои инструменты из этих имен файлов и каталогов, обходить правила ASR и продолжать создание дампа процесса LSASS. По словам разработчика инструмента Mimikatz Бенджамина Делпи (Benjamin Delpy), Microsoft, вероятно, добавила встроенные исключения для другого правила, но, поскольку исключения влияют на все правила, они обходят ограничение LSASS.

https://www.securitylab.ru/news/529845.php
 
Ответить с цитированием
 



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ