Η Microsoft ενεργοποιεί από προεπιλογή έναν κανόνα ασφαλείας «Attack Surface Reduction» του Microsoft Defender για να μπλοκάρει τις προσπάθειες των χάκερ να κλέψουν διαπιστευτήρια των Windows από τη διαδικασία LSASS.
Όταν οι φορείς απειλών υπονομεύουν ένα δίκτυο, προσπαθούν να εξαπλωθούν πλευρικά σε άλλες συσκευές κλέβοντας διαπιστευτήρια ή χρησιμοποιώντας εκμεταλλεύσεις.
Μία από τις πιο συνηθισμένες μεθόδους για την κλοπή των διαπιστευτηρίων των Windows είναι να αποκτήσετε δικαιώματα διαχειριστή σε μια παραβιασμένη συσκευή και, στη συνέχεια, να αποθέσετε τη μνήμη της διαδικασίας Local Security Authority Server Service (LSASS) που εκτελείται στα Windows.
Αυτή η ένδειξη αποθήκευσης μνήμης περιέχει κατακερματισμούς NTLM των διαπιστευτηρίων των Windows χρηστών που είχαν συνδεθεί στον υπολογιστή που μπορούν να εξαναγκαστούν για κωδικούς πρόσβασης καθαρού κειμένου ή να χρησιμοποιηθούν σε επιθέσεις Pass-the-Hash για να συνδεθείτε σε άλλες συσκευές.
Μια επίδειξη του τρόπου με τον οποίο οι φορείς απειλών μπορούν να χρησιμοποιήσουν το δημοφιλές πρόγραμμα Mimikatz για την απόρριψη κατακερματισμών NTLM από το LSASS φαίνεται παρακάτω.
Ενώ το Microsoft Defender αποκλείει προγράμματα όπως το Mimikatz, μια ένδειξη μνήμης LSASS μπορεί να μεταφερθεί σε έναν απομακρυσμένο υπολογιστή για την απόρριψη των διαπιστευτηρίων χωρίς φόβο ότι θα αποκλειστεί.
