Windows, rubare password dalla memoria sarà più difficile

Rafforzate le difese di Microsoft Defender per evitare la sottrazione di password e credenziali dalla memoria dei sistemi Windows. L'azienda di Redmond attiva ASR (Attack Surface Reduction).
Michele Nasi
Pubblicato il 14 feb 2022
Windows, rubare password dalla memoria sarà più difficile

Ci sono tanti strumenti software che permettono di estrarre le password in memoria su qualunque sistema Windows.
L’applicazione più famosa è certamente Mimikatz, un’utilità “di lungo corso” che viene utilizzata sia per scopi di test sia per sottrarre credenziali altrui.

Il programma agisce sul servizio di sistema LSASS (Local Security Authority Subsystem Service) di Windows: sempre in esecuzione, esso si occupa di gestire l’autenticazione degli utenti, le modifiche alle password e crea token di accesso.

Quando un componente malevolo riesce a infettare un sistema Windows una delle azioni che pone in essere consiste nel creare un dump della memoria: essa di solito contiene gli hash NTLM (NT LAN Manager) delle password usate dagli utenti.
Usando attività di brute forcing è piuttosto semplice risalire alla password in chiaro contenuta in memoria sotto forma di hash NTLM.
Sebbene Microsoft Defender blocchi automaticamente Mimikatz e i tool da esso derivati, un aggressore può comunque trasferire verso server esterni il contenuto della memoria del sistema della vittima ed esaminarlo altrove per poi proseguire con l’attacco.

Per mettere un freno a questi attacchi i tecnici dell’azienda di Redmond stanno attivando la nuova funzionalità Attack Surface Reduction (ASR) all’interno di Microsoft Defender: si tratta di una misura di sicurezza aggiuntiva che impedisce l’estrazione delle password dalla memoria facendo leva sul servizio LSASS.

Come funziona? Il processo che governa il funzionamento di LSASS viene isolato in un contenitore virtualizzato in modo da evitare che altri elementi caricati sul sistema possano accedervi, neppure usando i diritti amministrativi.
Con ASR Microsoft attiva per default la policy di sicurezza Bloccare il furto delle credenziali dal sottosistema Windows autorità di sicurezza locale (lsass.exe): gli utenti potranno eventualmente modificarne la configurazione via GPO con Active Directory oppure usando l’Editor Criteri di gruppo locali (gpedit.msc).

Va detto che per sua natura ASR tenderà a generare un po’ di “rumore” all’interno del registro degli eventi di Windows oltre a qualche falso positivo.

La sottrazione delle password di Windows in ambito locale è comunque alla base di una buona fetta di attacchi informatici.

Ti consigliamo anche

Allerta Brokewell, il malware che si finge un aggiornamento di Chrome
Vulnerabilità

Allerta Brokewell, il malware che si finge un aggiornamento di Chrome
Hacker sfruttano bug nel sistema di stampa Windows per diffondere malware
Vulnerabilità

Hacker sfruttano bug nel sistema di stampa Windows per diffondere malware
La più grande minaccia informatica del futuro? Ecco perché sarà GPT-4
Vulnerabilità

La più grande minaccia informatica del futuro? Ecco perché sarà GPT-4
Nel 2023 10 milioni di dispositivi infettati da malware data-stealing
Vulnerabilità

Nel 2023 10 milioni di dispositivi infettati da malware data-stealing
Link copiato negli appunti