Si vous utilisez Windows 11 ou la dernière version de Windows Server, Microsoft Defender Antivirus, qui fait partie du système d’exploitation, peut désormais empêcher le vol de vos mots de passe.
La nouvelle fonctionnalité a été introduite via la règle Antimalware Scan Interface (ASR), qui est un ensemble de règles utilisées par Microsoft Defender pour analyser les fichiers et bloquer les logiciels malveillants.
La règle utilise l’apprentissage automatique pour détecter les processus malveillants qui n’ont pas besoin d’accéder aux fonctions LSA dans Windows, mais qui tentent quand même d’y accéder.
Comment fonctionne LSASS
Le service de sous-système de l’autorité de sécurité locale (LSASS) est un processus de Windows qui gère la connexion et d’autres tâches liées à la sécurité. Ainsi, en accédant aux fonctionnalités LSA, les logiciels malveillants peuvent voler les informations d’identification de la mémoire ou des fonctionnalités de sécurité Windows .
Credential Guard de Microsoft authentifie les utilisateurs qui se connectent en protégeant le système avec son composant Defender. Le problème est que Credential Guard n’est pas activé dans tous les environnements car il n’est pas compatible avec tous les programmes.
Un fichier de vidage mémoire généré lorsqu’un attaquant s’introduit dans l’ordinateur d’un utilisateur peut contenir le mot de passe et le nom d’utilisateur de l’utilisateur. Ce fichier est rendu possible grâce à l’utilisation de Mimikatz, un outil spécial conçu à cet effet.
Les attaquants peuvent utiliser un processus légitime qui existe dans le système d’exploitation pour obtenir un accès complet au système et transférer des vidages de mémoire contenant des informations d’identification vers des emplacements distants.
Defender ne bloquera pas cette action car le processus est légitime et l’action n’est pas malveillante. Defender détecte uniquement l’utilisation malveillante des processus et ne peut pas empêcher leur création ou leur transfert.
Mises à jour de Microsoft Defender
Microsoft a résolu ce problème de sécurité en introduisant une nouvelle règle de sécurité appelée Attack Surface Reduction (ASR).
Cette règle empêchera les programmes d’ouvrir LSASS et les empêchera à son tour de créer un vidage de mémoire. Il bloquera l’accès à LSASS même si un programme élevé tente d’ouvrir le processus.
Étant donné que seuls les programmes disposant de droits d’administrateur peuvent ouvrir LSASS, ce blocage les empêche également d’accéder à d’autres processus protégés susceptibles de s’exécuter sur l’ordinateur.
La règle empêche également le processus protégé lui-même d’ouvrir sa propre image, ce qui rend impossible la capture ou la modification de données dans la mémoire protégée.
Ce paramètre par défaut entraîne l’activation de cet ASR tandis que toutes les autres règles qui lui sont associées restent dans leur état par défaut.
Avantages et inconvénients
Microsoft Defender utilise un système de détection qui détecte les logiciels malveillants connus et inconnus, mais il n’est pas fiable. Les auteurs de logiciels malveillants sont toujours à la recherche de nouvelles façons de protéger leurs logiciels malveillants contre la détection.
Toutefois, si vous utilisez un logiciel antivirus tiers sur votre ordinateur, la règle ASR n’est pas disponible. L’absence de règle ASR permet aux pirates de contourner la restriction Microsoft Defender, ainsi que les moyens de la contourner.
Un certain nombre de chercheurs en sécurité Windows ont déjà contourné la règle Defender ASR en utilisant ses chemins d’exclusion pour accéder au fichier Lsass.exe.
Le rapport mentionne que, parce que Defender a déjà quelques exceptions – par exemple, il permet à certains utilisateurs disposant de privilèges d’administrateur de demander et de répondre aux demandes ASR – il permet aux pirates d’exploiter ces règles tout en trouvant de nouvelles façons d’attaquer les ordinateurs.
Cela signifie que seuls les utilisateurs de Windows 11 Enterprise et Pro seront protégés par l’ASR amélioré.
Cependant, les chercheurs en sécurité ont bien accueilli la nouvelle règle ASR. Étant donné que cela rend Windows un peu plus sécurisé, moins il y a de mots de passe volés, mieux c’est, car tout le monde en bénéficiera.
La dernière version de Microsoft Defender , connue sous le nom de Microsoft Defender Preview, propose un tableau de bord avec lequel vous pouvez gérer la sécurité de vos appareils.
Pensez-vous que la nouvelle mise à jour de Microsoft Defender est prometteuse pour la sécurité de Windows ? Donnez-nous votre avis dans la section des commentaires ci-dessous.
Laisser un commentaire