Microsoft voegt een functie toe aan Defender waarmee Local Security Authority Server Service-processen kunnen worden geblokkeerd. Daarmee wordt een belangrijke methode om wachtwoorden uit Windows te lekken afgesloten.
Het gaat om een regel voor een Attack Surface Reduction die Microsoft toevoegt aan Defender. Die zorgt ervoor dat aanvallers geen memory dumps meer kunnen maken uit Lsass of Local Security Authority Server Service. Die Local Security Authority is een dienst in Windows waarmee gebruikers worden geauthenticeerd bij het inloggen, maar aanvallers kunnen dat misbruiken door plaintext-wachtwoorden en NTLM-hashes te achterhalen via een memory dump. De nieuwe functie voorkomt dat.
Normaal gesproken voorkomt Defenders ingebouwde Credential Guard-functie zo'n dump. Microsoft heeft nu een nieuwe regel toegevoegd die ook werkt als Credential Guard is uitgeschakeld. Dat gebeurt vaak bij bedrijven omdat Credential Guard tot problemen kan leiden met smartcarddrivers of andere software. De nieuwe regel verbiedt alle processen om lsass.exe aan te spreken, zelfs als die adminrechten hebben.
De functie wordt voortaan standaard ingeschakeld voor alle gebruikers. Ze kunnen die wel handmatig uitschakelen. Alle andere ASR-regels blijven volgens Microsoft standaard wel uitgeschakeld. Microsoft waarschuwt dat bedrijven mogelijk wel meer notificaties in hun logs krijgen over geblokkeerde inlogpogingen van andere processen. Het bedrijf zegt dat het extra filterregels heeft geïmplementeerd die het aantal meldingen terugdringt.