Vol d’identifiants : Microsoft Defender veut protéger le processus LSASS

Microsoft est sur le point d'activer par défaut l'option "Attack Surface Reduction" de sa solution Microsoft Defender. L'objectif est d'empêcher les hackers de voler les identifiants via un dump du processus LSASS.

Lorsque l'on cherche à voler des identifiants sur une machine Windows, notamment pour s'authentifier sur une autre machine du réseau par la suite et progresser sur l'infrastructure cible, il y a une méthode bien connue qui consiste à faire un dump mémoire du processus LSASS (Local Security Authority Server Service) de Windows, après avoir obtenu un accès admin sur la machine. Grâce à ce dump que l'on peut effectuer avec Mimikatz, l'attaquant peut récupérer les hash NTLM correspondants aux utilisateurs connectés à la machine. Ensuite, cela ouvre d'autres possibilités comme le brute force sur les hash pour récupérer les mots de passe en clair, ou l'utilisation de la technique Pass-the-Hash pour s'authentifier sur un autre ordinateur en réutilisant les informations obtenues via le dump.

Microsoft Defender ASR : la réponse au problème ?

Pour contrer ces attaques et éviter qu'un dump mémoire du processus LSASS puisse être effectué, Microsoft propose plusieurs solutions pour empêcher l'accès à ce processus, y compris avec les droits administrateur. Il y a la fonctionnalité Credential Guard qui permet d'isoler le processus LSASS dans un container virtualisé pour empêcher les autres processus d'y accéder. Le problème, c'est que Credential Guard a tendance à rentrer en conflit avec certaines applications et certains pilotes. Résultat, certaines entreprises ne peuvent pas activer cette fonction.

L'alternative proposée par Microsoft consiste à utiliser la fonctionnalité "Attack Surface Reduction" (ASR) de Microsoft Defender, et cette option va être activée par défaut. Avant cela, l'option n'était pas configurée par défaut. Désormais, si l'on essaie de réaliser un dump mémoire du processus LSASS, on obtient un accès refusé même avec les droits administrateur. On peut se demander pourquoi Microsoft n'avait pas activé cette option plus tôt ? En fait, c'est parce qu'elle pourrait générer de faux positifs et beaucoup d'entrées dans l'observateur d'événements.

Désormais, Microsoft semble bien décidé à réduire la surface d'attaque de ses systèmes, en renforçant la configuration par défaut. Dernièrement, plusieurs actions vont dans ce sens : la désactivation de certaines macros dans Office ou encore la suppression à venir de WMIC sont de très bons exemples.

ASR : un premier pas, mais pas suffisant

La fonction ASR de Microsoft Defender for Endpoint est un premier pas, mais d'après les premiers retours, ce n'est pas suffisant. Voici pourquoi. Tout d'abord, il y a une limitation au niveau du système, ou plutôt un prérequis : il faut utiliser Windows en version Entreprise et Microsoft Defender doit être l'antivirus principal de la machine. Même si le site Bleeping Computer confirme que cela fonctionne sur Windows 10 Pro et Windows 11 Pro, ce n'est pas ce que dit Microsoft. Si vous installez un autre antivirus sur la machine, la fonction ASR est immédiatement désactivée. Pour le coup, c'est bien dommage.

Plus gênant encore, des chercheurs en sécurité sont parvenus à contourner la protection d'ASR en exploitant la liste des répertoires et fichiers exclus du périmètre de Microsoft Defender. Résultat, ils ont pu effectuer un dump mémoire du processus LSASS malgré que l'ASR soit actif sur la machine.

D'après Benjamin Delpy, le développeur de Mimikatz, Microsoft a probablement ajouté cette exclusion pour une autre règle, mais visiblement cela s'applique à toutes les règles. Néanmoins, cette protection devrait tout de même compliquer la tâche lors des attaques, surtout si Microsoft corrige le tir sur cette histoire d'exclusion. Disons que les choses vont dans le bon sens ! 🙂

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 4110 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.