Windows ofrece una nueva barrera para impedir
el robo de contraseñas gracias a Microsoft Defender

Microsoft ha habilitado por defecto una nueva función en su software de seguridad, Microsoft Defender. Esta nueva configuración “reducirá la superficie de ataque” y bloqueará los intentos de robo de credenciales en Windows por parte de los hackers.

Esta nueva configuración de Microsoft actuará, principalmente, desde el proceso LSASS o Local Security Authority Server Service. Ya que uno de los métodos más comunes para robar credenciales en Windows, se hace obteniendo privilegios de administrador en un dispositivo comprometido, para luego volcar la memoria del proceso (LSASS) que se ejecuta en Windows.

Como recuerda Bleeping Computer, este volcado de memoria contiene los hashes NTLM de las credenciales de Windows de todos aquellos usuarios que han iniciado sesión en el ordenador. Y pueden ser forzados para obtener contraseñas en texto plano o utilizados en ataques Pass-the-Hash para empezar sesión en otros dispositivos.

El programa Mimikatz

Los hackers suelen usar el popular programa Mimikatz para volcar los hashes NTLM de LSASS. 

No obstante, la nueva configuración de Microsoft Defender bloqueará  programas tipo Mimikatz, que hacen un volcado de memoria LSASS  y que puede ser transferidos a un equipo remoto, y robar así las credenciales sin temor a ser bloqueados.

La novedad anunciada por Microsoft  busca evitar que se pueda abusar de los volcados de memoria de LSASS introduciendo funciones de seguridad que impiden el acceso al proceso.

Como forma de mitigar el robo de credenciales de Windows sin causar los conflictos introducidos por Credential Guard, Microsoft pronto habilitará una regla de reducción de la superficie de ataque (ASR) de Microsoft Defender por defecto.

Esta semana, también hemos sabido que Microsoft ha comenzado a retirar la herramienta WMIC que hackers y ciberdelincuentes suelen utilizar para instalar malware y ejecutar comandos.

Accede para ver información más detallada: GENBETA