Microsoft Defender schützt Windows-Passwörter besser vor Diebstahl
Der Microsoft Defender wird mit neuen Features ausgestattet, die es Angreifern deutlich schwerer machen sollen, Passwort-Informationen von einem System zu stehlen. Dies ist bisher zuweilen mit überschaubarem Aufwand möglich.
Angreifer versuchen hierfür eine Kopie des Speicherbereiches zu erstellen, der vom Local Security Authority Server Service (LSASS) genutzt wird. In diesem sind zumindest die NTLM-Hashes von Passwörtern der Nutzer eines Windows-Systems enthalten. Da die meisten Anwender aber keine zu komplexen Kennungen verwenden, ist es durchaus möglich, die Klartext-Passwörter mit Brute-Force-Angriffen herauszufinden.
Der Microsoft Defender geht zwar bereits gegen einige Malwares vor, die LSASS-Dumps anfertigen und an ihre Betreiber schicken wollen, doch gibt es hier noch keine passende allgemeine Lösung. Windows selbst bietet die Möglichkeit, den fraglichen Speicherbereich komplett vor fremden Zugriffen zu schützen, indem er in einen eigenen Container gesteckt wird - allerdings kann dies zu Problemen bei der Nutzung verschiedener Treiber oder anderer Anwendungen führen, so dass viele Admins auf diese Option verzichten. Das geht aus einem aktuellen Bericht von BleepingComputer hervor.
Offiziell ist die Änderung durch Microsoft noch nicht kommuniziert worden. Allerdings hat sie ein Sicherheitsforscher bereits entdeckt, als er sich mit den neuesten Entwicklungen im Defender vertraut machte. Die Änderung ist auch eine kleine Umorientierung seitens Microsofts - denn die ASR-Regel war bisher nicht standardmäßig aktiviert, da sie in den Event Logs relativ viele Einträge hinterließ und somit für Unübersichtlichkeit sorgte. Dies nimmt man zugunsten einer höheren Sicherheit nun aber hin.
Siehe auch:
Der Microsoft Defender geht zwar bereits gegen einige Malwares vor, die LSASS-Dumps anfertigen und an ihre Betreiber schicken wollen, doch gibt es hier noch keine passende allgemeine Lösung. Windows selbst bietet die Möglichkeit, den fraglichen Speicherbereich komplett vor fremden Zugriffen zu schützen, indem er in einen eigenen Container gesteckt wird - allerdings kann dies zu Problemen bei der Nutzung verschiedener Treiber oder anderer Anwendungen führen, so dass viele Admins auf diese Option verzichten. Das geht aus einem aktuellen Bericht von BleepingComputer hervor.
ASR per default
Microsoft stattet den Defender daher nun mit der Möglichkeit aus, die Attack Surface Reduction (ASR)-Regel standardmäßig angeschaltet zu lassen. Dadurch wird auch Prozessen, die mit Administrator-Rechten laufen, der Zugriff auf die LSASS-Speicherbereiche untersagt. Ein Dump kann daher gar nicht erst angefertigt werden.Offiziell ist die Änderung durch Microsoft noch nicht kommuniziert worden. Allerdings hat sie ein Sicherheitsforscher bereits entdeckt, als er sich mit den neuesten Entwicklungen im Defender vertraut machte. Die Änderung ist auch eine kleine Umorientierung seitens Microsofts - denn die ASR-Regel war bisher nicht standardmäßig aktiviert, da sie in den Event Logs relativ viele Einträge hinterließ und somit für Unübersichtlichkeit sorgte. Dies nimmt man zugunsten einer höheren Sicherheit nun aber hin.
Siehe auch:
Thema:
Neue Downloads zum Thema
Videos zum Thema
- Super Bowl 2024: CrowdStrike sorgt im Wilden Westen für Sicherheit
- Netflix zeigt Doku über John McAfees irre Flucht und wildes Leben
- Geht immer noch: So kann sich Malware per E-Mail einschleichen
- Windows 10: Manuelle Konfiguration vom Defender ausgebremst
- LibreOffice: So schnell kann ein Makrovirus ins System durchschlagen
Beiträge aus dem Forum
Beliebt im Preisvergleich
- Antivirus:
Weiterführende Links
Neue Nachrichten
- Samsung Health: Nutzer müssen Daten für KI freigeben, sonst Löschung
- GDID: Microsoft bestätigt nicht deaktivierbare Windows-Gerätekennung
- FritzSmart und Repeater: Firmware-Updates für 4 Geräte stehen bereit
- Schweizer Armee verbannt Microsoft für deutsche OpenDesk-Lösung
- Long March 10B: China landet erstmals Raketenstufe auf dem Meer
- Nur heute: 13 Weekend-Deals bei Media Markt & Saturn, die sich lohnen
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen