Microsoftが、Windowsの標準アンチウイルスソフト「Microsoft Defender」に新しい「Attack Surface Reduction (ASR)」ルールを追加し、Windowsパスワードの盗難防止機能を強化していることが分かりました(BleepingComputer、gHacks)。
Windowsでは、攻撃者がWindowsの認証機能を司る「Local Security Authority Server Service (LSASS)」プロセスのメモリをダンプし、Windowsの認証情報を盗む方法が一般的に知られています。Microsoft Defenderは、MimikatzのようなLSASSのメモリダンプを作成するツールをブロックしますが、LSASSのメモリダンプが何らかの方法で作成されれば、ダンプファイルを他のコンピューターに送信して攻撃に悪用することができるのです。
Microsoft DefenderのCredential Guardは解決策の一つであるものの、Credential Guardは一部のドライバやアプリケーションとコンフリクトを引き起こすため、全ての組織で有効化されているわけではありません。
この問題を解決するため、LSASSを不正アクセスから保護するためのAttack Surface Reduction (ASR)と呼ばれる新しいルールが追加されています。このルールはLASSを開こうとするプログラムをブロックし、メモリダンプの作成を不可能とするもので、管理者権限を持つプログラムがLASSを開こうとした場合も同様に機能します。
ASRルールはデフォルトで有効で、完全な機能は、プライマリアンチウィルスソフトとしてMicrosoft Defenderを実行しているWindows Enterpriseライセンスでのみサポートされているとのこと。ただしBleepingComputerが実施したテストでは、Windows 10およびWindows 11 Proのクライアントでも機能するようです。
ASRルールはすでに一部のセキュリティ研究者によってバイパスする手法が発見されていますが、Windowsの安全性を少しでも高め、パスワードの盗難を減らすことができる機能として、セキュリティ研究者から歓迎されています。
