Отдел информационной безопасности сообщает: компания Microsoft внедрила функции безопасности для блокировки хакеров, пытающихся украсть учетные данные Windows из процесса Local Security Authority Server Service ( LSASS).
Наиболее популярный способ кражи среди киберпреступников – получение прав администратора на сомнительном или незащищенном устройстве. После получения прав мошенниками создается дампа памяти LSASS, которая содержит NTLM-хэши учетных данных Windows авторизованных в системе пользователей. Хэши взламывают, чтобы использовать в дальнейшем в атаках для авторизации на других устройствах или просто крадут пароли пользователей в открытом виде.
Правило безопасности Защитника Windows Attack Surface Reduction (ASR) было включено по умолчанию. Функции безопасности ограничивают и изолируют доступ к процессу LSASS в виртуальном контейнере, предотвращая доступ к нему других процессов.
Разработчики предупреждают, что функция безопасности может привести к конфликтам с драйверами и приложениями, поэтому не все организации будут включать ее.