Il servizio LSASS (Local Security Authority Subsystem Service) di Windows è uno degli obiettivi dei criminali informatici, soprattutto negli scenari aziendali.
Mantenuto sempre in esecuzione, LSASS si occupa di gestire l’autenticazione degli utenti, le modifiche alle password e crea token di accesso.
Dal punto di vista di criminale informatico, il processo LSASS su una macchina Windows è spesso fondamentale per ottenere credenziali degli utenti all’interno di un dominio Active Directory. Questi dati di autenticazione vengono poi sfruttati per muoversi lateralmente e infettare server, workstation e altri dispositivi collegati in rete locale. Esistono diversi metodi che gli aggressori possono usare per estrarre le credenziali dal processo LSASS.
Alcuni prodotti di sicurezza includono misure di protezione avanzate per proteggere LSASS e prevenire il furto dei dati di autenticazione, il cosiddetto dumping delle credenziali utente. Talvolta non è possibile applicare politiche restrittive negli ambienti aziendali per via dei problemi che si riverberano sul funzionamento di programmi legacy o sviluppati in maniera tutt’altro che perfetta.
A febbraio 2022 Microsoft dichiarava che rubare password dalla memoria in Windows sarebbe diventato più difficile. Così, AV-Comparatives ha messo alla prova le soluzioni per la sicurezza proposte da diversi fornitori in modo da misurare il livello di difesa garantito rispetto al servizio LSASS di Windows.
Nell’ambito di 15 differenti test, AV-Comparatives ha concluso che Microsoft Defender for Endpoint insieme con Avast Ultimate Business Security, Bitdefender GravityZone Business Security Enterprise, Kaspersky Endpoint Detection and Response Expert offrono la migliore protezione in assoluto.
Da parte sua Microsoft ha voluto celebrare il risultato ottenuto con una dettagliata analisi pubblicata sul blog dell’azienda.
Leggendola, si apprende che i suggerimenti ottenuti in passato da AV-Comparatives hanno permesso di migliorare ulteriormente Defender for Endpoint e ottenere il giudizio “100%” nella verifica effettuata ad agosto scorso.
Microsoft aggiunge che sono state introdotte ulteriori modifiche: “vorremmo ringraziare AV-Comparatives per questo test approfondito che ci ha portato a migliorare le nostre capacità di protezione e rilevamento in Defender for Endpoint. Questi miglioramenti sono già stati implementati a vantaggio dei nostri clienti e non vediamo l’ora del prossimo test“.
La funzione di protezione contro la sottrazione delle credenziali dell’utente è attivabile usando una funzione segreta di Microsoft Defender anche sui normali sistemi Windows 10 e 11.