×
Outbyte PC Repair
Outbyte Driver Updater

マイクロソフトはパスワードについてより賢くなっています

2022/02/16
マイクロソフトはパスワードについてより賢くなっています

Windows11または最新バージョンのWindowsServerを実行している場合、オペレーティングシステムの一部であるMicrosoft Defender Antivirusにより、パスワードの盗難を防ぐことができるようになりました。

この新機能は、Microsoft Defenderがファイルをスキャンしてマルウェアをブロックするために使用する一連のルールであるアンチウイルススキャンインターフェイス(ASR)ルールを通じて導入されました。 

このルールは、機械学習を使用して、WindowsのLSA機能にアクセスする必要のない悪意のあるプロセスを検出しますが、それでもそれらにアクセスしようとします。 

LSASSの仕組み

ローカルセキュリティ機関サブシステムサービス(LSASS)は、ログオンやその他のセキュリティ関連のタスクを処理するWindowsのプロセスであるため、マルウェアはLSA機能にアクセスすることで、メモリまたはWindowsのセキュリティ機能から資格情報を盗むことができます。

MicrosoftのCredentialGuardは、Defenderコンポーネントでシステムを保護することにより、ログインしているユーザーを認証します。問題は、すべてのプログラムと互換性があるわけではないため、すべての環境でCredentialGuardが有効になるわけではないことです。

攻撃者がユーザーのコンピューターに侵入したときに生成されるメモリダンプファイルには、ユーザーのパスワードとユーザー名が含まれている可能性があります。このファイルは、この目的のために設計された特別なツールであるMimikatzを使用して作成されています。

攻撃者は、オペレーティングシステムに存在する正当なプロセスを使用して、システムへのフルアクセスを取得し、資格情報を含むメモリダンプをリモートの場所に転送できます。 

プロセスは正当であり、アクションは悪意のあるものではないため、防御側はこのアクションをブロックしません。Defenderは、プロセスの悪意のある使用のみを検出し、プロセスの作成または転送を防ぐことはできません。

MicrosoftDefenderの更新

Microsoftは、 Attack Surface Reduction(ASR) と呼ばれる新しいセキュリティルールを導入することにより、このセキュリティ問題に対処しました。

このルールは、プログラムがLSASSを開くのを防ぎ、次にプログラムがメモリダンプを作成するのを防ぎます。昇格したプログラムがプロセスを開こうとしても、LSASSへのアクセスはブロックされます。

管理者権限を持つプログラムのみがLSASSを開くことができるため、このブロックは、コンピューターで実行されている可能性のある他の保護されたプロセスにそれらがアクセスすることも防ぎます。 

このルールは、保護されたプロセス自体が自身のイメージを開くこともブロックし、保護されたメモリ内のデータをキャプチャまたは変更することを不可能にします。

このデフォルト設定により、このASRが有効になり、それに関連する他のすべてのルールはデフォルト状態のままになります。

長所と短所

Microsoft Defenderは、既知のマルウェアと未知のマルウェアの両方を検出する検出システムを使用していますが、信頼性は高くありません。マルウェアの作成者は、マルウェアを検出から保護するための新しい方法を常に模索しています。

ただし、コンピューターでサードパーティのウイルス対策ソフトウェアを使用している場合、ASRルールは使用できません。ASRルールがないため、ハッカーはMicrosoft Defenderの制限を回避できるだけでなく、それを回避することもできます。 

多くのWindowsセキュリティ研究者は、除外パスを使用してLsass.exeファイルにアクセスすることにより、DefenderASRルールをすでにバイパスしています。 

レポートには、Defenderにはすでにいくつかの例外があるため(たとえば、管理者権限を持つ特定のユーザーがASR要求を要求して応答できるようにする)、ハッカーがコンピューターを攻撃する新しい方法を見つけながらこれらのルールを悪用できるようになると記載されています。 

これは、Windows 11EnterpriseおよびProユーザーのみが拡張ASRによって保護されることを意味します。

ただし、セキュリティ研究者は新しいASRルールを歓迎しています。これによりWindowsの安全性が少し向上するため、盗まれるパスワードが少ないほど、誰もがその恩恵を受けることができるため、より良い結果が得られます。

Microsoft DefenderPreviewとして知られる最新バージョンのMicrosoftDefenderは、デバイスのセキュリティを管理できるダッシュボードを提供します。

新しいMicrosoftDefenderアップデートは、Windowsのセキュリティに有望だと思いますか?以下のコメントセクションであなたの考えを教えてください。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です