Microsoft Defender schützt Windows-Passwörter besser vor Diebstahl

Der Microsoft Defender wird mit neuen Features ausgestattet, die es Angreifern deutlich schwerer machen sollen, Passwort-Informationen von einem System zu stehlen. Dies ist bisher zuweilen mit überschaubarem Aufwand möglich.
Sicherheit, Security, Schadsoftware, Cybersecurity, Antivirus, Anti-Virus, Windows Defender, Defender, anti-malware, Antivirensoftware, Microsoft Defender, Anti-Viren-Software, Windows Defender Advanced Threat Protection, Windows Antivirus, Windows Defender Security Center, Windows Schild
Angreifer versuchen hierfür eine Kopie des Speicherbereiches zu erstellen, der vom Local Security Authority Server Service (LSASS) genutzt wird. In diesem sind zumindest die NTLM-Hashes von Passwörtern der Nutzer eines Windows-Systems enthalten. Da die meisten Anwender aber keine zu komplexen Kennungen verwenden, ist es durchaus möglich, die Klartext-Passwörter mit Brute-Force-Angriffen herauszufinden.

Der Microsoft Defender geht zwar bereits gegen einige Malwares vor, die LSASS-Dumps anfertigen und an ihre Betreiber schicken wollen, doch gibt es hier noch keine passende allgemeine Lösung. Windows selbst bietet die Möglichkeit, den fraglichen Speicherbereich komplett vor fremden Zugriffen zu schützen, indem er in einen eigenen Container gesteckt wird - allerdings kann dies zu Problemen bei der Nutzung verschiedener Treiber oder anderer Anwendungen führen, so dass viele Admins auf diese Option verzichten. Das geht aus einem aktuellen Bericht von BleepingComputer hervor.

ASR per default

Microsoft stattet den Defender daher nun mit der Möglichkeit aus, die Attack Surface Reduction (ASR)-Regel standardmäßig angeschaltet zu lassen. Dadurch wird auch Prozessen, die mit Administrator-Rechten laufen, der Zugriff auf die LSASS-Speicherbereiche untersagt. Ein Dump kann daher gar nicht erst angefertigt werden.

Offiziell ist die Änderung durch Microsoft noch nicht kommuniziert worden. Allerdings hat sie ein Sicherheitsforscher bereits entdeckt, als er sich mit den neuesten Entwicklungen im Defender vertraut machte. Die Änderung ist auch eine kleine Umorientierung seitens Microsofts - denn die ASR-Regel war bisher nicht standardmäßig aktiviert, da sie in den Event Logs relativ viele Einträge hinterließ und somit für Unübersichtlichkeit sorgte. Dies nimmt man zugunsten einer höheren Sicherheit nun aber hin.

Siehe auch:

Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!