Ci sono tanti strumenti software che permettono di estrarre le password in memoria su qualunque sistema Windows.
L’applicazione più famosa è certamente Mimikatz, un’utilità “di lungo corso” che viene utilizzata sia per scopi di test sia per sottrarre credenziali altrui.
Il programma agisce sul servizio di sistema LSASS (Local Security Authority Subsystem Service) di Windows: sempre in esecuzione, esso si occupa di gestire l’autenticazione degli utenti, le modifiche alle password e crea token di accesso.
Quando un componente malevolo riesce a infettare un sistema Windows una delle azioni che pone in essere consiste nel creare un dump della memoria: essa di solito contiene gli hash NTLM (NT LAN Manager) delle password usate dagli utenti.
Usando attività di brute forcing è piuttosto semplice risalire alla password in chiaro contenuta in memoria sotto forma di hash NTLM.
Sebbene Microsoft Defender blocchi automaticamente Mimikatz e i tool da esso derivati, un aggressore può comunque trasferire verso server esterni il contenuto della memoria del sistema della vittima ed esaminarlo altrove per poi proseguire con l’attacco.
Per mettere un freno a questi attacchi i tecnici dell’azienda di Redmond stanno attivando la nuova funzionalità Attack Surface Reduction (ASR) all’interno di Microsoft Defender: si tratta di una misura di sicurezza aggiuntiva che impedisce l’estrazione delle password dalla memoria facendo leva sul servizio LSASS.
Come funziona? Il processo che governa il funzionamento di LSASS viene isolato in un contenitore virtualizzato in modo da evitare che altri elementi caricati sul sistema possano accedervi, neppure usando i diritti amministrativi.
Con ASR Microsoft attiva per default la policy di sicurezza Bloccare il furto delle credenziali dal sottosistema Windows autorità di sicurezza locale (lsass.exe): gli utenti potranno eventualmente modificarne la configurazione via GPO con Active Directory oppure usando l’Editor Criteri di gruppo locali (gpedit.msc
).
Va detto che per sua natura ASR tenderà a generare un po’ di “rumore” all’interno del registro degli eventi di Windows oltre a qualche falso positivo.
La sottrazione delle password di Windows in ambito locale è comunque alla base di una buona fetta di attacchi informatici.