Een van de meest voorkomende methodes om Windows-inloggegevens te bemachtigen is door beheerdersrechten te verkrijgen op een systeem en vervolgens het geheugen van het Local Security Authority Server Service-proces (LSASS) te dumpen. In een poging om dergelijke aanvallen te voorkomen, voert Microsoft een wijziging door in het gelijknamige Microsoft Defender.
Zo gaat de ontwikkelaar binnenkort de Attack Surface Reduction-regel (ASR) ‘Block credential stealing from the Windows local security authority subsystem’ standaard inschakelen, waardoor andere programma’s het LSASS-proces niet kunnen benaderen noch zijn geheugen kunnen dumpen – zelfs wanneer men administratorrechten heeft.
Een demonstratie van Bleeping Computer toont aan dat de regel daadwerkelijk de toegang tot LSASS ontzegt.
Het bestaande Credential Guard biedt ook bescherming tegen soortgelijke aanvallen, al kunnen niet alle organisaties deze functie inschakelen vanwege compatibiliteitsproblemen met aangepaste smartcard-drivers of andere programma’s die in de Local Security Authority (LSA) worden geladen. Dankzij de voornoemde ASR-regel moeten dus meer systemen beschermd zijn tegen het misbruik van LSASS.
Een belangrijke kanttekening: de volledige ASR-functie wordt alleen ondersteund op Windows Enterprise-licenties met Microsoft Defender als het primaire antivirusprogramma. Hoewel Bleeping Computer heeft vastgesteld dat de LSASS-maatregel wel werkt op Windows 10 en Windows 11 Pro, is het niet duidelijk of en wanneer deze feature naar consumenten wordt gebracht.
Bronnen: Kostas (Twitter), Bleeping Computer, Microsoft
