Microsoft Defender vient de se doter d'un nouvel outil pour se protéger contre les vols d'identifiants Windows. Pour ce faire, le logiciel va activer par défaut une règle ASR (Attack Surface Reduction).

Lancé en novembre 2021, Windows Defender s'est doté d'un nouvel utilitaire baptisé Microsoft Defender. Il regroupe notamment les services de détection et de remédiation de Microsoft 365 Defender et d'Azure Defender. Grâce à cet ajout de poids, Windows Defender offre désormais “la plus grande couverture en ressources de toutes les solutions XDR du secteur”.

Pour mémoire, les solutions XDR permettent de répondre rapidement aux cyberattaques grâce à des algorithmes d'apprentissage automatique et des analyses constates des données des utilisateurs sur le cloud. Et justement, le logiciel antivirus de Microsoft va recevoir un nouvel outil, pour empêcher cette fois-ci les vols d'identifiants Windows.

Comme l'explique la firme de Redmond, l'une des techniques les plus courantes pour voler des informations d'identifications Windows consiste à obtenir des privilèges d'administrateur sur un périphérique compromis, puis à vider la mémoire du processus LSAS (Local Security Authority Server Service) exécuté dans Windows.

À lire également : Windows Defender – vous pourrez bientôt contrôler la sécurité de votre PC sur Android et iOS

Microsoft Defender active par défaut une règle ASR

Pour empêcher d'éventuels attaquants de d'abuser des vidages de mémoire LSASS, Microsoft a introduit des mécanismes bloquant l'accès au processus LSASS. La première d'entre elles n'est autre que Credancial Guard. Son travail est d'isoler le processus LSASS dans un conteneur virtualisé pour empêcher les autres processus d'y accéder.

Seulement, Credential Guard peut entrer en conflit avec des pilotes ou des applications, ce qui amènent certaines entreprises à le désactiver. Alors pour éviter le vol d'ID Windows et des conflits éventuels entre applis et Credential Guard, Microsoft activera bientôt par défaut une règle de réduction de la surface d'attaque (ASR pour Attack Surface Reduction) dans Microsoft Defender.

En effet, la règle “Block Credential stealing from the Windows local security authority subsystem” empêche les processus d'ouvrir le processus LSASS et de vider sa mémoire, même si un attaquant dispose de privilèges administratifs. “L'état par défaut de la réduction de la surface d'attaque (ASR) “Block Credential stealing from the Windows local security authority subsystem” passe de Non Configuré à Configuré et le mode par défaut est défini sur Bloquer. Toutes les autres règles ASR resteront dans leur état par défaut : Non Configuré”, explique Microsoft dans son document sur les règles ASR.

Source : Bleeding Computer