微软正在加大从内存中窃取Windows密码的难度

梦幻的彼岸

翻译
原文地址：https://movaxbx.ru/2022/02/14/mi ... swords-from-memory/

---

微软正在默认启用Microsoft Defender的 "Attack Surface Reduction "安全规则，以阻止黑客从LSASS过程中窃取Windows凭证的企图。
当威胁者入侵网络时，他们试图通过窃取凭证或利用漏洞横向传播到其他设备。

窃取Windows凭证的最常见方法之一是在被攻击的设备上获得管理权限，然后转储Windows中运行的本地安全授权服务器服务（LSASS）进程的内存。

这种内存转储包含登录过该计算机的用户的Windows凭证的NTLM哈希值，这些凭证可以被破解为明文密码或用于Pass-the-Hash攻击以登录到其他设备。

下面是威胁者如何使用流行的Mimikatz程序从LSASS转储NTLM哈希值的演示。


使用mimikatz从LSASS中转储NTLM凭据
来源于: BleepingComputer

虽然Microsoft Defender心阻止了Mimikatz这样的程序，但LSASS内存转储仍然可以通过转移到远程计算机上来转储凭证，而不用担心被阻止。

Microsoft Defender来防御来解决这个问题

为了防止威胁者滥用LSASS内存转储，微软已经引入了安全功能，防止对LSASS进程的访问。

这些安全功能之一是Credential Guard，它将LSASS进程隔离在一个虚拟化的容器中，防止其他进程访问它。

然而，这一功能可能导致与驱动程序或应用程序的冲突，导致一些组织不启用它。

作为缓解Windows凭证盗窃的一种方式，同时又不造成Credential Guard,引入的冲突，微软很快将默认启用Microsoft Defender Attack Surface Reduction (ASR) rule

规则 "阻止从Windows本地安全授权子系统窃取凭证"，防止进程打开LSASS进程并转储其内存，即使它有管理权限。

ASR规则阻止Process Explorer转储LSASS进程
来源于: BleepingComputer

这个新的变化是本周由安全研究员Kostas发现的，他发现了微软的ASR规则文档的更新。

微软在ASR规则的更新文档中解释道："阻止从Windows本地安全授权子系统（lsass.exe）窃取凭证 "的攻击面减少（ASR）规则的默认状态将从未配置变为已配置，默认模式设置为阻止。所有其他ASR规则将保持其默认状态。

«额外的过滤逻辑已经被纳入规则，以减少终端用户的通知。客户可以将该规则配置为审计、警告或禁用模式，这将覆盖默认模式。无论该规则被配置为默认开启模式，还是手动启用阻止模式，该规则的功能都是一样的。»

由于攻击面减少规则往往会在事件日志中引入误报和大量响应，微软以前没有默认启用该安全功能。 然而，微软最近开始以牺牲便利为代价选择安全性，删除管理员和Windows用户使用的增加攻击面的常见功能。

例如，微软最近宣布，他们将在4月份阻止下载的Office文档中的VBA宏在Office应用程序中启用，从而扼杀了恶意软件的一种流行传播方式。

本周，我们还了解到，微软已经开始废除威胁者通常用来安装恶意软件和运行命令的WMIC工具

不是一个完美的解决方案，但却是一个好的开始

虽然默认情况下启用ASR规则将大大影响Windows凭证的窃取，但这绝不是一个万全之策。

这是因为只有在运行Microsoft Defender作为主要杀毒软件的Windows企业许可证上才支持完整的攻击面减少功能。然而，BleepingComputer的测试显示，LSASS ASR规则在Windows 10和Windows 11 Pro客户端上也能使用。

不幸的是，一旦安装了另一个防病毒解决方案，ASR就会立即在设备上禁用。

此外，安全研究人员发现了内置的Microsoft Defender排除路径，允许威胁者从这些文件名/目录中运行他们的工具，以绕过ASR规则并继续转储LSASS进程。

加强LSASS的ASR规则在默认情况下被打开，但请记住，这不是万全之策，有很多方法可以解决这个问题......这是我最喜欢的方法之一 😂 pic.twitter.com/fuQYJ3ZcAn
— Adam Chester 🐇 (@_xpn_) February 9, 2022

Mimikatz开发人员Benjamin Delpy告诉BleepingComputer，微软可能为另一条规则添加了这些内置的排除项，但由于排除项影响所有规则，它绕过了LSASS的限制。

"例如，如果他们想从规则中排除一个目录，"阻止可执行文件的运行，除非它们符合流行性、年龄或受信任名单的标准，"这不可能只针对这一规则。排除适用于所有的ASR规则......包括LSASS访问"，Delpy在与BleepingComputer谈论即将到来的变化时解释道。

然而，即使有所有这些问题，Delpy认为这一变化是微软向前迈出的重要一步，并认为它将大大影响威胁者窃取Windows凭证的能力。

Delpy的观点："这是我们多年（几十年）来一直要求的事情。这是一个很好的步骤，我非常高兴地看到，当来自互联网时，"宏 "被默认禁用。我们现在开始看到真正与现实世界的攻击有关的措施，"

"没有合法的理由支持开放LSASS进程......只支持错误的/遗留的/劣质产品--大多数时候--与认证有关:')。"

BleepingComputer已经联系了微软，以了解更多关于这一规则何时默认启用的信息，但还没有得到回复。