Microsoft внедрила функции безопасности, предотвращающие создание дампа памяти процесса LSASS.
Microsoft по умолчанию включила правило безопасности Защитника Windows Attack Surface Reduction (ASR) с целью блокировать попытки хакеров украсть учетные данные Windows из процесса LSASS.
Одним из наиболее распространенных способов кражи учетных данных Windows является получение прав администратора на скомпрометированном устройстве, а затем создание дампа памяти процесса Local Security Authority Server Service (LSASS) в Windows. Дамп памяти содержит NTLM-хэши учетных данных Windows пользователей, авторизованных в системе. Хэши могут быть взломаны для получения паролей в открытом виде или использованы в атаках Pass-the-Hash для авторизации на других устройствах.
В связи с этим Microsoft внедрила функции безопасности, предотвращающие доступ к процессу LSASS. Одной из таких функций является Credential Guard, которая изолирует процесс LSASS в виртуализированном контейнере, предотвращая доступ к нему других процессов. Однако данная функция может привести к конфликтам с драйверами или приложениями, из-за чего некоторые организации не будут ее включать.
Правило Block credential stealing from the Windows local security authority subsystem («Блокировать кражу учетных данных из подсистемы локального центра безопасности Windows») запрещает другим процессам открывать процесс LSASS и создавать дамп его памяти, даже при наличии административных привилегий.
Хотя включение правила ASR по умолчанию значительно уменьшит кражу учетных данных Windows, это ни в коем случае не панацея. Полная функция ASR поддерживается только в лицензиях Windows Enterprise, использующих Защитник Windows в качестве основного антивирусного ПО. К сожалению, после установки другого антивирусного решения ASR сразу отключается на устройстве.
Исследователи в области кибербезопасности обнаружили встроенные пути исключения Защитника Windows, позволяющие злоумышленникам запускать свои инструменты из этих имен файлов и каталогов, обходить правила ASR и продолжать создание дампа процесса LSASS. По словам разработчика инструмента Mimikatz Бенджамина Делпи (Benjamin Delpy), Microsoft, вероятно, добавила встроенные исключения для другого правила, но, поскольку исключения влияют на все правила, они обходят ограничение LSASS.
5778 К? Пф! У нас градус знаний зашкаливает!