Microsoft rend plus difficile le vol de données d’authentification en mémoire
L’éditeur prévoit d’activer par défaut une règle de Defender interdisant à des processus d’accéder à l’espace de mémoire vive utilisé par le processus Lsass, mais sans recourir aux mécanismes de microvirtualisation associés à Credential Guard.
Microsoft va prochainement modifier la configuration par défaut de son outil de protection des hôtes Defender for Endpoint et restreindre ainsi les possibilités de collecte de données d’authentification dans l’espace mémoire alloué au processus Lsass.
Ce processus est un point de vulnérabilité bien connu des environnements Windows. Il est notamment visé par Mimikatz. Développé depuis 2007 par le chercheur français Benjamin Delpy, initialement pour faire la démonstration pratique de l’exploitation d’une vulnérabilité du service de sous-système d’autorité de sécurité locale de Windows, ou lsass, Mimikatz est capable d’aller récupérer, en mémoire vive, des informations relatives aux sessions en cours, dont des mots de passe en clair.
La collecte de données d’authentification en mémoire vive constitue l’une des étapes typiques des attaques en profondeur. Mais ce n’est pas Mimikatz qui est là lui-même utilisé, nous expliquait Benjamin Delpy en septembre 2020 : « les grosses attaques que l’on peut voir n’incluent pas le binaire de Mimikatz, mais la technologie ». Dès lors, « ce n’est pas le programme Mimikatz ni ses fichiers qu’il faut savoir arrêter ou détecter, mais l’attaque qui est mise en exergue par l’outil. Et c’est tout de suite plus compliqué ». Selon Red Canary, la technologie de Mimikatz se positionne aujourd’hui parmi les principales menaces informatiques.
Bien que régulièrement interpellée sur le risque de vol de données d’authentification dans l’espace mémoire du processus Lsass, Microsoft n’a qu’assez récemment réagi. En septembre 2016, l’éditeur a présenté la fonctionnalité Credential Guard, basée sur le Virtual Secure Mode présenté un peu plus d’un an avant et mettant à profit la microvirtualisation.
Mais pas question d’activer par défaut Credential Guard aujourd’hui : Microsoft mise sur les fonctions de réduction de la surface d’attaque (ASR) de Defender for Endpoint, et en particulier de configurer comme active et en mode bloquant, par défaut, la règle conçue pour bloquer le vol de données d’authentification auprès du processus lsass. Cette règle permet d’empêcher les processus s’exécutant sur l’hôte d’accéder à la mémoire de lsass.
Si cette démarche constitue un progrès – les équipes de sécurité de Palantir, notamment, recommandaient une telle configuration –, il n’en existe pas moins des moyens de contournement, déjà évoqués, notamment par le chercheur Adam Chester, spécialiste du test d’intrusion. En outre, le calendrier de mise en œuvre de cette évolution n’a pas été précisé par Microsoft.