[English]Kurzer Sicherheitssplitter zum Morgen. Sicherheitsforscher haben einen Ansatz gefunden, um den Schutz bzw. die Erkennung von Angriffen auf den Diebstahl von Anmeldeinformationen auszutricksen und zu umgehen.
Anzeige
Microsoft Defender ATP bietet erweiterte Erkennungssensoren für Sicherheitsverletzungen (siehe auch hier). Über Windows Defender Credential Guard stehen zudem virtualisierungsbasierte Sicherheitsfunktionen in Windows 10 zur Verfügung. Der Versuch, Anmeldeinformationen über Mimikatz und Co. aus dem Speicher auszulesen, sollte daher erkannt und als Bedrohung gemeldet werden.
Defender ATP Credential-Theft-Erkennung umgehen
Gerade bin ich auf den nachfolgenden Tweet gestoßen, der sich damit befasst, die Schutzmechanismen des Microsoft Defender ATP zum Erkennen und Warnen vor einem Diebstahl von Anmeldeinformationen zu umgehen.
Evading WinDefender ATP credential-theft: a hit after a hit-and-miss start.
tl;dr PssCaptureSnapshot syscall clones the process then you don't need to do ReadProcessMemory against the original process and avoid LSASS read detection.https://t.co/Z4pc45xrqU— scriptjunkie (@scriptjunkie1) December 2, 2019
Im verlinkten Artikel wird gezeigt, wie sich Anmeldeinformation stehlen ließen. Und es wird ein Vorschlag gemacht, mit Sysmon LSASS zu überwachen und jeden eventID 10 zu überprüfen, ob ein Versuch stattfindet, um Anmeldeinformationen zu stehlen. Wer sich für das Thema interessiert, findet im Artikel die betreffenden Details. Aktuell kann ich nicht beurteilen, wie praxisnah das Ganze ist.
Anzeige
Der aktuelle Stand ist, dass die Schwachstelle am 2.11.2019 an das Microsoft Security Response Center MSRC gemeldet wurde. Das MSRC hat am 12.11.2019 mitgeteilt, dass das Ganze nicht in ein Bug-Bounty-Programm fällt und wollte das Ganze analysieren und dann auf die Sicherheitsforscher zukommen. Trotz zweifacher Erinnerung ist das nicht passiert, so dass die Entdecker der Schwachstelle diese nach Ablauf der gewährten 30 tägigen Schweigefrist am 2. Dezember 2019 veröffentlicht haben.
Anzeige
