Las contraseñas son uno de los elementos más importantes dentro de nuestros datos personales, ya que son estas las que nos brindan el acceso a plataformas como redes sociales o servicios en línea. Es por ello que siempre es necesario ser cuidadoso al momento de encontrarnos con mensajes donde se nos solicite nuestros datos personales y que vengan acompañados de algún enlace para acceder y realizar cualquier acción que requiera la introducción de estos datos. Muchas veces, esto puede tratarse de una estrategia hecha por algún ciberdelincuente para hacerse con nuestros datos y estafarnos.
Pensando en esto, Microsoft ha incorporado una nueva función de seguridad a su herramienta Microsoft Defender con el propósito de hacer frente a ataques cibernéticos que estén enfocados en obtener las credenciales de Windows a través del proceso LSASS (Local Security Authority Server Service).
Uno de los métodos más usados por los hackers para penetrar en el sistema y acceder a las credenciales de Windows es a través de la obtención de privilegios de administrador a los cuales sacan provecho para manipular el proceso LSASS y hacer un volcado de memoria de este.
En este procedimiento de volcado de memoria se encuentran los hashes NTLM correspondientes a las credenciales de Windows de aquellos usuarios que han iniciado sesión en el ordenador. Estos elementos son forzados para generar contraseñas en texto plano o utilizados para iniciar ataques pass-the-hash con el cual poder iniciar sesión en otros dispositivos.
Por otra parte, existe un programa de nombre Mimikatz usado por los criminales cibernéticos para volcar los hashes NTLM del proceso LSASS. Sin embargo, la acción de esta herramienta puede ser neutralizada por Microsoft Defender, llegando incluso a bloquearla.
Aun así, existe un método que puede burlar esta defensa, haciendo que el volcado de memoria de LSASS se produzca en un equipo remoto sin correr el riesgo de ser bloqueado. Al tener conocimiento de esto Microsoft se dio a la tarea de realizar mejoras en Microsoft Defender, de modo que este impidiera los volcados de memoria del proceso LSASS.
Es así como Microsoft tomó la decisión de implementar por defecto en Microsoft Defender una regla de reducción de la superficie de ataque (ASR) de modo que esto ayude a reducir el robo de credenciales de Windows y así evitar el conflicto generado por Credential Guard. En ese sentido, se cambiará el atributo No configurado de esta regla ha Configurado y se fijará Bloquear como el modo predeterminado, mientras que el resto de reglas ASR mantendrán intacta su configuración.