Microsoft está habilitando por defecto una nueva función de seguridad en Microsoft Defender para "reducir la superficie de ataque" para bloquear los intentos de hackers de robar credenciales de Windows desde el proceso LSASS o Local Security Authority Server Service. Esto es porque unos de los métodos más comunes para robar credenciales de Windows es obtener privilegios de administrador en un dispositivo comprometido y luego volcar la memoria del proceso (LSASS) que se ejecuta en Windows.

Como recuerda Bleeping Computer, este volcado de memoria contiene los hashes NTLM de las credenciales de Windows de los usuarios que han iniciado sesión en el ordenador, que pueden ser forzados para obtener contraseñas en texto plano o utilizados en ataques Pass-the-Hash para iniciar sesión en otros dispositivos.

El programa Mimikatz

Los actores de amenazas pueden utilizar el popular programa Mimikatz para volcar los hashes NTLM de LSASS. Microsoft Defender bloquea programas como Mimikatz, un volcado de memoria de LSASS todavía puede ser transferido a un equipo remoto para volcar las credenciales sin temor a ser bloqueado. Hay quer recordar que el pasado año Mimikatz apareció dentro de un par de procesos de ataques, como el de diciembre con NICKEL.

La novedad anunciada busca evitar que se pueda abusar de los volcados de memoria de LSASS introduciendo funciones de seguridad que impiden el acceso al proceso.

Como forma de mitigar el robo de credenciales de Windows sin causar los conflictos introducidos por Credential Guard, …