Windows Defender: una funzione segreta riduce la superficie d'attacco

• Antimalware
• Howto

Sappiamo che le grandi aziende sono particolarmente avvezze a cambi di nome che generano un po’ di confusione tra gli utenti. Windows Defender è la soluzione per la protezione del sistema che è integrata nelle varie versioni del sistema operativo Microsoft. Dopo aver già subìto un cambio di denominazione, Windows Defender è comunemente associato alla finestra Sicurezza di Windows in Windows 10 e Windows 11: essa ne costituisce l’interfaccia.

Anche se l’appellativo Windows Defender rimane radicato nella memoria degli utenti, la soluzione integrata per la protezione del sistema è stata recentemente rinominata in Microsoft Defender. Dal mese di giugno 2022 l’azienda di Redmond ha iniziato a usare l’espressione Microsoft Defender per riferirsi alla soluzione a pagamento messa a disposizione degli abbonati a Microsoft 365 che consente di gestire e difendere con un approccio centralizzato (basato sul cloud) una batteria di dispositivi. Abbiamo già visto che Microsoft Defender non diventa a pagamento: la versione proposta di default in Windows 10, Windows 11 e Windows Server resta utilizzabile sul singolo sistema senza versare alcun canone di abbonamento.

Ridurre la superficie d’attacco con Defender ASR

Un attacco informatico può sfruttare diversi punti deboli all’interno di un’azienda, di uno studio professionale o sfruttare eventuali leggerezze commesse in ambito domestico.

I punti di attacco utilizzati dagli aggressori restano ad esempio script, eseguibili o macro dannosi incorporati nei documenti Office. Altri possibili punti d’ingresso di un’infezione sono ovviamente i browser Web e programmi di ampio utilizzo, come Adobe Reader, che soffrono di vulnerabilità periodicamente risolte dagli sviluppatori ma che purtroppo possono restare sfruttabili (perché l’utente non installa le patch correttive).

Oltre alle misure che gli amministratori di sistema possono adottare configurando opportunamente le singole applicazioni, Defender fornisce un ulteriore livello di protezione.
Le macro di Office possono essere “addomesticate” con l’aiuto di criteri di gruppo ma le regole di Defender che consentono di ridurre la superficie di attacco contribuiscono a migliorare la situazione.

ASR o riduzione della superficie di attacco (Attack Surface Reduction) è un meccanismo che comprime la “libertà d’azione” delle varie applicazioni utilizzate in Windows evitando che un processo malevolo possa sfruttarle per causare danni e muoversi lateralmente infettando altri dispositivi connessi in rete locale.

La riduzione della superficie di attacco non è inclusa solo nei prodotti a pagamento, come Defender per Endpoint ma fa parte anche di Windows 10, Windows 11 e Windows Server sebbene alcune regole non siano supportate nelle versioni precedenti del sistema operativo.

Il principale svantaggio di Windows Defender in versione gratuita sono le opzioni limitate per la gestione delle abilità ASR e le restrizioni in termini di reportistica. Digitando Sicurezza di Windows nella casella di ricerca del sistema operativo, si accede a una finestra di configurazione molto semplificata che non permette di configurare nel dettaglio il comportamento di Windows Defender o Microsoft Defender che dir si voglia.

L’aspetto molto interessante è che usando l’Editor dei criteri di gruppo (gpedit.msc) o PowerShell è possibile attivare la protezione ASR di Windows Defender anche su Windows 10 e 11.

Per semplificare le cose e attivare le difese per la riduzione della superficie d’attacco mediante interfaccia grafica suggeriamo di procedere come segue:

• Scaricare e installare il programma gratuito DefenderUI: si tratta di un’interfacci grafica che espone tutte le funzionalità avanzate di Windows Defender.
• Avviare DefenderUI quindi scegliere il profilo di sicurezza Consigliato (il primo della lista). Agendo sul menu a tendina nella barra del titolo si può tradurre l’interfaccia del programma in italiano.
• Cliccando sulla scheda Regole ASR si può verificare che tutte le protezioni principali sono state abilitate riducendo la superficie di attacco.

DefenderUI non deve rimanere in esecuzione: dal momento che l’applicazione si limita ad effettuare alcune modifiche “dietro le quinte” sulla configurazione di Windows Defender, una volta impostato tutto basta chiudere il programma.

Quali protezioni offre ASR di Windows Defender

Un eccellente software come DefenderUI aiuta a impostare con un semplice clic una serie di regole:

• Blocca l’esecuzione dei file eseguibili a meno che non soddisfino un criterio di prevalenza, età o elenco attendibile 01443614-cd74-433a-b99e-2ecdc07bfc25 DISATTIVATO
• Impedisce ai componenti di Microsoft Office di creare processi figlio 26190899-1602-49e8-8b27-eb1d0a1ce869 ATTIVATO
• Impedisce alle applicazioni Office di creare contenuto eseguibile 3b576869-a4ec-4529-8536-b80a7769e899 ATTIVATO
• Blocca l’abuso di driver firmati vulnerabili 56a863a9-875e-4185-98a7-b882c64b5ce5 MOSTRA AVVISO
• Blocca l’esecuzione di script potenzialmente offuscati 5beb7efe-fd9a-4556-801d-275e5ffc04cc ATTIVATO
• Impedisce alle applicazioni Office di inserire codice in altri processi 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 ATTIVATO
• Impedisce ad Adobe Reader di creare processi figlio 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c ATTIVATO
• Blocca le chiamate API Win32 dalle macro di Office 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b ATTIVATO
• Blocca il furto di credenziali dal sottosistema LSASS di Windows 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 DISATTIVATO
• Blocca i processi non attendibili e non firmati eseguiti da USB b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 ATTIVATO
• Blocca il contenuto eseguibile proveniente dai client di posta elettronica e dalle Webmail be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 ATTIVATO
• Usa la protezione avanzata contro il ransomware c1db55ab-c21a-4637-bb3f-a12568109d35 ATTIVATO
  Questa regola fornisce un ulteriore livello di protezione contro il ransomware. Usa sia l’euristica client che quella cloud per determinare se il comportamento di un file è paragonabile a quello di un ransomware. Non vengono bloccati i file già indicati come non pericolosi nel cloud Microsoft, quelli con una firma digitale valida, gli elementi talmente diffusi da non essere considerabili come ransomware. La regola tende a peccare di eccessivo zelo a scopo precauzionale (risulta piuttosto severa).
• Blocca la creazione di processi originati dai comandi PSExec e WMI d1e49aac-8f56-4280-b9ba-993a6d77406c DISATTIVATO
• Blocca il caricamento di codice JavaScript e VBScript dal contenuto eseguibile scaricato d3e037e1-3eb8-44c8-a917-57927947596d ATTIVATO
• Impedisce a tutte le applicazioni Office di creare processi figlio d4f940ab-401b-4efc-aadc-ad5f3c50688a ATTIVATO
• Blocca la persistenza tramite la sottoscrizione di eventi WMI e6db77e5-3df2-4cf1-b95a-636979351e5b ATTIVATO

Verificare le regole applicate con DefenderUI per ridurre i rischi d’attacco

Dopo aver cliccato sul profilo di sicurezza Raccomandato in DefenderUI, Windows Defender è impostato come indicato in precedenza. DefenderUI abilita automaticamente le regole in corrispondenza delle quali abbiamo indicato ATTIVATO.

La regola ove figura MOSTRA AVVISO fa sì che Windows Defender mostri un messaggio d’allerta lasciando però decidere all’utente in che modo ci si debba comportare.

Aprendo una finestra PowerShell con i diritti di amministratore (premere Windows+X quindi scegliere Windows PowerShell (amministratore) oppure Terminale Admin) e digitando quanto segue, si possono appunto verificare le impostazioni applicate da DefenderUI a ciascuna regola:

Get-MpPreference Select-Object AttackSurface* -ExpandProperty AttackSurfaceReductionRules_Ids

Get-MpPreference Select-Object AttackSurface* -ExpandProperty AttackSurfaceReductionRules_Actions

I lunghi identificativi alfanumerici ottenuti con il primo comando corrispondono alle varie regole ASR nell’elenco riportato in precedenza.

Come impostare manualmente le regole per Windows Defender

Gli amministratori di sistema possono eventualmente impostare le varie regole anche a mano usando il comando che segue:

Add-MpPreference -AttackSurfaceReductionRules_Ids identificativo -AttackSurfaceReductionRules_Actions Enabled

Al posto di identificativo va indicato il lungo ID alfanumerico corrispondente alla regola che si vuole configurare mentre a Enabled si può sostituire Disabled o Warn. Maggiori informazioni sono reperibili nel documento Microsoft sull’attivazione delle regole per la riduzione della superficie di attacco.

Avviando l’Editor Criteri di gruppo locali di Windows (premere Windows+R quindi digitare gpedit.msc) si possono abilitare le varie regole ASR seguendo una strada alternativa.
Basta cliccare su Configurazione computer, Modelli amministrativi, Componenti di Windows, Microsoft Defender Antivirus, Microsoft Defender Exploit Guard, Riduzione superficie di attacco.

Con un doppio clic su Configura regole Riduzione superficie di attacco nel pannello di destra, su Attivata quindi sul pulsante Mostra, al di sotto della colonna Nome valore si possono specificare gli identificativi alfanumerici riportati in precedenza. Nella colonna Valore si deve invece indicare 1 per Enabled, 0 per Disabled, 6 per Warn.