Microsoft Defender primește încă o funcție de securitate, specifică mai degrabă produselor antivirus premium

Încet dar sigur, Microsoft scoate din joc producătorii antivirus comerciali, Windows Defender primind tot mai multe funcții așteptate în mod normal de la soluții antivirus din gama premium.

Recent, am aflat că Microsoft Defender poate împiedica și furtul parolelor Windows, Microsoft introducând un nou mecanism de securitate numit Attack Surface Reduction, justificat drept răspuns pentru o problemă de securitate Windows cronicizată, afectând o componentă numită Local Security Authority Server Service (LSASS). Practic, pornind de la un singur PC compromis la care hackerii au obținut drepturi de acces la nivel de Administrator, extragerea din memoria RAM a procesului LSASS permite obținerea hash-urilor criptografice (NTLM) pentru toți utilizatorii care sau autentificat pe PC-ul respectiv către alte servicii din rețeaua locală. Acestea sunt ulterior decriptate pentru obținerea parolelor în formă clară, deschizând accesul la alte dispozitive din cadrul rețelei.

Între timp, Microsoft Defender a primit și un nou blocklist, mai agresiv, care asistă detectarea și eventual blocarea, a unora dintre cele mai cele mai riscante componente Windows: driverele de sistem, instalate din necesitate pentru a permite folosirea anumitor dispozitive hardware și chiar unele aplicații.

Pe scurt, driverele Windows reprezintă interfața dintre partea de hardware și cea de software, pachetul furnizat de obicei chiar da fabricantul echipamentului respectiv beneficiind de privilegii extinse asupra sistemului de operare. Tocmai de la aceste privilegii pot apărea o sumedenie de probleme, orice driver obținut dintr-o sursă nesigură constituind un veritabil cal troian pentru aplicații malware, care odată infiltrate pot acționa fără restricții și deseori nedetectabil.

Oarecum în contradicție cu efortul depus de Microsoft, noua funcționalitate este adăugată ca și setare opțională, pe care o poți bifa dacă dorești să beneficiezi de protecție suplimentară împotriva driverelor Windows neconforme. Motivul este acela că tehnologia presupune și suport la nivel de hardware, asigurat prin bifarea unei alte setări, Hypervisor-protected Code Integrity (HVCI), de activat în bios-ul dispozitivelor compatibile.

Concret, noua listă este alcătuită din drivere Windows deja marcate ca fiind exploatabile, Microsoft Defender adăugând doar un mecanism de ultimă instanță pentru blocarea pericolelor imediate, care altfel ar putea cauza daune ireparabile sistemelor compromise. În general, infiltrarea unui driver compromis constituie o portiță de intrare pentru orice formă de malware, cu acces practic nelimitat la nucleul Windows.