Microsoft Defender ATP Credential-Theft bypassing?

[English]Kurzer Sicherheitssplitter zum Morgen. Sicherheitsforscher haben einen Ansatz gefunden, um den Schutz bzw. die Erkennung von Angriffen auf den Diebstahl von Anmeldeinformationen auszutricksen und zu umgehen.


Anzeige

Microsoft Defender ATP bietet erweiterte Erkennungssensoren für Sicherheitsverletzungen (siehe auch hier). Über Windows Defender Credential Guard stehen zudem virtualisierungsbasierte Sicherheitsfunktionen in Windows 10 zur Verfügung. Der Versuch, Anmeldeinformationen über Mimikatz und Co. aus dem Speicher auszulesen, sollte daher erkannt und als Bedrohung gemeldet werden.

Defender ATP Credential-Theft-Erkennung umgehen

Gerade bin ich auf den nachfolgenden Tweet gestoßen, der sich damit befasst, die Schutzmechanismen des Microsoft Defender ATP zum Erkennen und Warnen vor einem Diebstahl von Anmeldeinformationen zu umgehen.

Im verlinkten Artikel wird gezeigt, wie sich Anmeldeinformation stehlen ließen. Und es wird ein Vorschlag gemacht, mit Sysmon LSASS zu überwachen und jeden eventID 10 zu überprüfen, ob ein Versuch stattfindet, um Anmeldeinformationen zu stehlen. Wer sich für das Thema interessiert, findet im Artikel die betreffenden Details. Aktuell kann ich nicht beurteilen, wie praxisnah das Ganze ist.

Der aktuelle Stand ist, dass die Schwachstelle am 2.11.2019 an das Microsoft Security Response Center MSRC gemeldet wurde. Das MSRC hat am 12.11.2019 mitgeteilt, dass das Ganze nicht in ein Bug-Bounty-Programm fällt und wollte das Ganze analysieren und dann auf die Sicherheitsforscher zukommen. Trotz zweifacher Erinnerung ist das nicht passiert, so dass die Entdecker der Schwachstelle diese nach Ablauf der gewährten 30 tägigen Schweigefrist am 2. Dezember 2019 veröffentlicht haben.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.