Windows terá sistema que dificulta o roubo de credenciais da memória

A Microsoft está implementando uma nova tecnologia de segurança no Windows, com foco na redução do roubo de credenciais em ataques que envolvem movimentação lateral pela rede. A novidade cria uma regra de Redução de Superfície de Ataque (ASR, na sigla em inglês), fazendo com que processos do sistema operacional não sejam mais capazes de acessar a porção da memória em que as senhas ficam armazenadas em formato hash.

• Velho truque usado no Brasil é isca para infectar PCs com Windows
• Ransomware assustará empresas em 2022; veja dicas para se proteger

Esse era um vetor comum de obtenção de dados em golpes que envolvem movimentação lateral pela rede. A partir de um dispositivo conectado, os criminosos usavam softwares maliciosos para acessar um processo chamado LSASS (sigla para Serviço de Autoridade Local de Segurança de Servidor, em tradução livre); enquanto medidas protetivas já estavam em vigor, elas eram insuficientes e poderiam levar à extração das credenciais para serem liberadas em ataques de força-bruta e usadas para acessar mais aparelhos desprotegidos.

Hoje, o Windows já possui um sistema que isola o LSASS em um ambiente virtual, mas tal configuração poderia gerar mau funcionamento de drivers e aplicações, o que levava muitos administradores de sistema a desabilitarem o recurso. A nova regra ASR, da Microsoft, vem para resolver essa questão, impedindo que até mesmo os processos com privilégios de administração extraiam as credenciais disponíveis no segmento.

A novidade foi descoberta pelo especialista em segurança Kostas Tsialemis, em documentações relacionadas ao sistema de segurança Microsoft Defender. A atualização também deve trazer novas opções a administradores, com o intuito de reduzir o fluxo de alertas relacionados a bloqueios de acesso ao LSASS, o que inclui, também, a possibilidade de desabilitar o sistema de segurança caso ele esteja causando dificuldades de monitoramento ou incompatibilidades.

De acordo com testes realizados pelo site Bleeping Computer, o novo sistema, que é focado nas versões Enterprise do sistema operacional, também deve funcionar no Windows 10 e 11, desde que, em todos, o Defender seja o software de segurança padrão. Enquanto isso, antes mesmo da implementação, especialistas em segurança já descobriram maneiras alternativas de obter os dados do LSASS.

Por outro lado, a adição vem sendo vista como positiva pelos especialistas, ao lado de outras medidas de proteção, como o recente anúncio de que a execução de macros em arquivos do Office seria desabilitada por padrão, com um processo dificultado para liberação. A ideia, em ambos os casos, é acabar com vetores centrais de ataques contra corporações, ainda que isso resulte em maior dificuldade de uso; é uma questão de prioridades, no final das contas, com os analistas apontando que a Microsoft está fazendo a escolha certa.

Fonte: Microsoft, Bleeping Computer