Microsoft’un anti virüs yazılımındaki bir unsur artık sürekli çalışır halde olacak. Microsoft böylece Windows giriş bilgilerinin çalınmasının önüne geçmeyi planlıyor.
Yapılan değişiklik ilk olarak Kostas isimli bir siber güvenlik araştırmacısı tarafından farkedildi. Kostas güncellemeyi Microsoft’un Attack Surface Reduction kuralları arasında buluyor.
Tehdidi kullananlar genellikle ya bilgi çalıyor ya da saldırıya açık ağlarda rahatça dolanmak için çeşitli açıkları kullanıyor. Bunu yapmalarının bir yolu da sistemin yönetici girişi özelliğinden faydalanmak. Daha sonra ise Local Security Authority Server Service (LSASS) hafızası indiriliyor. LSASS, içinde Windows kimlik bilgilerini bulunduran NTLM’e ev sahipliği yapıyor.
İndirilen bu bilgilere daha sonra zorla erişilebiliyor. Ama LSASS hafızasını arayan gözlerden uzak tutmak için Microsoft bu kısma erişimi engelliyor. Erişimi engelleyen Credential Guardian, işlemi sanal bir konteyner içinde muhafaza ediyor.
Fakat bu işlem bir takım sürücü çakışmalarına sebep olabiliyor. Bu sebeple bir çok organizasyon bu özelliği açmamayı tercih ediyor.
Microsoft sıkıntının etrafından dolanmak içinse bir ASR kuralı kullanıyor. “Windows’un lokal güvenlik otorite altsisteminden çalmayı engelle” adlı bi kural varsayılan olarak açık olacak.
Bu ASL kuralı işlemlerin LSASS işlemlerini açmasına engel olacak. Yönetici izinleriyle bile bu işlemlere ulaşılamayacak.
Güncellemenin dökümanlarında “Son kullanıcı bildirimlerini azaltmak için bir takım ek mantık filtrelemelerinin eklendiği” belirtiliyor. “Kullanıcılar kuralı Denetle, Uyar veya Kapat modlarına geçirebilecekler. Bu değişiklik varsayılan moda karşı öncelik taşıyacak. Kuralın fonksiyonu ise, varsayılan olarak da gelse, el ile de ayarlansa, değişmeyecek.”
Kaynak: techradar.com