Microsoft работает над новой функцией для встроенного антивируса Microsoft Defender. Она будет активна по умолчанию и затруднит кражу паролей на Windows.
Субъекты угроз обычно крадут учетные данные или используют различные эксплойты, чтобы перемещаться в уже скомпрометированной сети. Один из способов сделать это — получить доступ администратора, а затем сбросить память процесса службы сервера локальной службы безопасности (LSASS), поскольку в ней хранятся хэши NTLM учетных данных Windows.
Для того, чтобы скрыть дампы памяти LSASS от посторонних, Microsoft запрещает доступ к ним с помощью функции защиты учетных данных, которая изолирует процесс в виртуализированной контейнере.
Однако, как отмечает BleepingComputer, эта функция иногда приводит к конфликтам драйверов, поэтому многие организации предпочитают не включать ее.
Чтобы обойти эту проблему, Microsoft по умолчанию включит правило «блокировать кражу учетных данных из подсистемы управления локальной безопасностью Windows». Оно не позволяет процессам открывать процесс LSASS даже с правами администратора.
В настоящее время это правило в Windows находится в состоянии «не настроен». Оно изменится на «настроенный», а режим по умолчанию будет установлен на»блокировать».