تعد كلمات المرور من أهم العناصر في بياناتنا الشخصية ، حيث إنها العناصر التي تتيح لنا الوصول إلى الأنظمة الأساسية مثل الشبكات الاجتماعية أو الخدمات عبر الإنترنت.
مع وضع ذلك في الاعتبار ، قامت مايكروسوفت بدمج وظيفة أمان جديدة في أداة Microsoft Defender الخاصة بها من أجل التعامل مع الهجمات الإلكترونية التي تركز على الحصول على بيانات اعتماد المستخدمين في الويندوز من خلال عملية LSASS (Local Security Authority Server Service).
إحدى الطرق الأكثر استخدامًا من قبل الهاكرزلاختراق النظام والوصول إلى بيانات اعتماد الويندوز هي الحصول على امتيازات المسؤول ، والتي يستفيدون منها لمعالجة عملية LSASS وإجراء تفريغ للذاكرة.
في إجراء تفريغ الذاكرة هذا ، توجد تجزئات NTLM المقابلة لبيانات اعتماد الويندوز لهؤلاء المستخدمين الذين قاموا بتسجيل الدخول إلى الكمبيوتر. تُجبر هذه العناصر على إنشاء كلمات مرور بنص عادي أو استخدامها لبدء هجمات تمرير التجزئة لتسجيل الدخول إلى أجهزة أخرى.
من ناحية أخرى ، هناك برنامج يسمى Mimikatz يستخدمه مجرمو الإنترنت لتفريغ تجزئات NTLM لعملية LSASS. ومع ذلك ، يمكن تحييد عمل هذه الأداة بواسطة Microsoft Defender ، حتى حظرها.
ومع ذلك ، هناك طريقة يمكنها تجاوز هذه الحماية ، مما يتسبب في حدوث تفريغ ذاكرة LSASS على جهاز بعيد دون المخاطرة بالحظر. بمعرفة ذلك ، أخذت مايكروسوفت على عاتقها مهمة إجراء تحسينات على Microsoft Defender ، بحيث تمنع تفريغ الذاكرة من عملية LSASS.
هذه هي الطريقة التي اتخذت بها مايكروسوفت القرار بتنفيذ قاعدة تقليل سطح الهجوم (ASR) افتراضيًا في Microsoft Defender بحيث يساعد ذلك في تقليل سرقة بيانات اعتماد الويندوز وبالتالي تجنب التعارض الناتج عن Credential Guard.
وبهذا المعنى ، سيتم تغيير السمة غير المكونة لهذه القاعدة إلى التكوين وسيتم تعيين الحظر كوضع افتراضي ، بينما ستحافظ بقية قواعد ASR على تكوينها كما هو.
ليست هناك تعليقات:
إرسال تعليق