Aggiornamenti recenti Settembre 2nd, 2025 4:53 PM
Feb 16, 2022 Redazione news Attacchi, News, RSS 0
Quando un pirata compromette una rete, cerca di entrare anche in altri dispositivi rubando credenziali o utilizzando exploit.
Uno dei metodi più comuni per rubare le credenziali in Windows è ottenere privilegi da amministratore su una macchina compromessa ed eseguire un dump della memoria del processo del servizio server dell’autorità di sicurezza locale (LSASS da Local Security Authority Server Service) in esecuzione.
Questo dump della memoria contiene gli hash NTLM delle credenziali di Windows degli utenti che si sono loggati al computer. Gli hash NTLM si possono violare con un attacco brute-force per ottenere le credenziali in chiaro o sfruttare con la tecnica Pass-the-Hash per fare il login su altri dispositivi.
Per evitare che dei malintenzionati utilizzino questi meccanismi, Microsoft ha introdotto delle protezioni che bloccano l’accesso ai processi LSASS. Una di queste è Credential Guard, che li isola in un container virtualizzato impedendo agli altri processi di accedervi. Questa funzione può però portare a dei conflitti con driver o applicazioni, per cui alcune aziende non la abilitano.
Per ridurre il rischio di furto di credenziali in Windows senza causare conflitti, Microsoft abiliterà presto come impostazione predefinita una regola per la riduzione della superficie di attacco (Microsoft Defender Attack Surface Reduction o ASR).
La regola ASR “Block credential stealing from the Windows local security authority subsystem” (blocca il furto delle credenziali dal sottosistema dell’autorità di sicurezza locale di Windows) impedisce l’apertura dei processi LSASS da parte di altri processi e l’esecuzione del dump della memoria, anche se si hanno privilegi amministrativi.
Se l’abilitazione di questa regola sicuramente ridurrà il furto di credenziali in Windows, secondo Bleeping Computer non è una soluzione perfetta. Le funzioni ASR sono infatti pienamente abilitate solo nelle licenze Windows Enterprise con Microsoft Defender come antivirus principale, anche se nei test di BleepingComputer la regola ha funzionato anche in Windows 10 e Windows 11 Pro.
Sfortunatamente, se viene installata un’altra soluzione antivirus, ASR viene disabilitato sul dispositivo. Dei ricercatori hanno inoltre identificato dei possibili metodi per bypassare queste regole.
Ott 24, 2024 0
Ott 18, 2024 0
Apr 05, 2024 0
Dic 18, 2023 0
Set 02, 2025 0
Set 01, 2025 0
Ago 29, 2025 0
Ago 27, 2025 0
Ago 29, 2025 0
Il prossimo 14 ottobre terminerà ufficialmente il supporto...Ago 26, 2025 0
Il mondo dell’IoT rimane uno dei più esposti alle...Ago 04, 2025 0
I chatbot basati su modelli linguistici di grandi...Lug 29, 2025 0
Tra le minacce più recenti che stanno facendo tremare il...Lug 17, 2025 0
Gli attacchi DDoS, compresi quelli ipervolumetrici,...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Set 02, 2025 0
Lo scorso 20 agosto Salesloft aveva avvertito di un...Set 01, 2025 0
Qualche giorno fa la Counter Threat Unit di Sophos ha...Ago 29, 2025 0
Il prossimo 14 ottobre terminerà ufficialmente il supporto...Ago 27, 2025 0
Google ha deciso di aumentare la sicurezza dei dispositivi...Ago 26, 2025 0
Il mondo dell’IoT rimane uno dei più esposti alle...