Windows gaat wachtwoorden beter bewaken

De hiervoor gebruikte maatregel, die het aanvalsoppervlak verkleint, is in wezen al beschikbaar maar staat niet default ingeschakeld. Het kan namelijk conflicten opleveren met andere software zoals drivers en reguliere applicaties. Microsoft heeft de Defender-regel voor Attack Surface Reduction (ASR) verfijnd, zodat conflicten met legitieme software worden voorkomen.

Verder doordringen

Hackers die binnendringen bij bedrijven en organisaties benutten vaak inloginformatie die is opgeslagen op computers. Daarmee kunnen zij weer elders toegang verkrijgen, die dan legitiem lijkt te zijn en dus niet altijd security-alarmen laat afgaan. Een veelgebruikte methode om Windows-inloggegevens buit te maken, is het dumpen van de geheugeninhoud waarin de Local Security Authority Server Service (LSASS) van het besturingssysteem draait. Daarin zitten dan NTLM-hashes (van authenticatieprotocol NT Lan Manager) van inloggegevens van gebruikers die eerder op de bewuste computer hebben ingelogd.

Die hashes zijn soms te kraken of soms te benutten met zogeheten Pass-the-Hash-aanvallen (PtH), schrijft Bleeping Computer. Bij PtH worden gehashte wachtwoorden direct ingediend bij een ander inlogsysteem, om zo een onbevoegde gebruiker in te laten loggen als een bestaande gebruiker. Zo kunnen aanvallers vanaf een gecompromitteerde computer 'zijdelings' bewegen naar andere computers, met mogelijk meer rechten of met opgeslagen wachtwoorden van gebruikers met meer rechten.

Wanneer?

De default blokkade in Microsoft Defender voor LSASS-geheugendumps is afgelopen week ontdekt door security-onderzoeker Kostas Tsialemis van beveiligingsleverancier Sophos. Het is nog niet bekend wanneer Microsoft deze verbeterde wachtwoordbescherming gaat doorvoeren. Overigens biedt de toepassing van ASR-rules, ook in de verbeterde uitvoering die softwareconflicten moet voorkomen, geen volledige bescherming aangezien er meerdere methodes bekend zijn om Microsoft Defender te omzeilen of voor de gek te houden.