Er zijn gisteren verschillende updates van Microsoft verschenen die Windows beter tegen wachtwoorddiefstal en andere aanvallen moeten beschermen. In het geval van Security Advisory 2871997 gaat het om een optionele update die vooral voor organisaties is bedoeld.
Deze update voegt aanvullende bescherming van de Local Security Authority (LSA) toe, alsmede een beperkte beheerdersmode voor de Credential Security Support Provider (CredSSP). Tevens voegt de update ondersteuning voor beperkte domeingebruikers toe en dwingt een strenger authenticatiebeleid voor clients af. Dit moet diefstal van inloggegevens voorkomen. De optionele update is via Windows Update te downloaden.
Ook voor Group Policy Preferences (GPP) verscheen gisteren een update, die wel automatisch wordt geïnstalleerd. GPP laat een systeembeheerder allerlei zaken instellen, zoals lokale beheerdersaccounts en uit te voeren taken, maar ook aan te koppelen netwerkschijven. De instellingen, waaronder inloggegevens, worden via een bestand naar de SYSVOL-share van de domeincontroller geschreven.
Een aanvaller die toegang tot de SYSVOL-share heeft, wat bijvoorbeeld kan via de gestolen inloggegevens van een legitieme gebruiker, kan toegang tot de encryptiesleutel krijgen waarmee de door GPP ingestelde wachtwoorden zijn versleuteld. Aanvallen op GPP zijn volgens Microsoft één van de populairste manieren voor aanvallers om hun rechten op het systeem te verhogen. De update van Microsoft moet voorkomen dat aanvallers op deze manier de versleutelde wachtwoorden kunnen bemachtigen en ontsleutelen. Meer details over het probleem geeft Microsoft in dit artikel.
Een andere aanval die Microsoft via een automatisch geïnstalleerde update probeert te voorkomen zijn de ShellExecute-aanvallen. Deze tactiek wordt door verschillende Trojaanse paarden, wormen en backdoors toegepast om de rechten op het systeem te verhogen. In dit geval moet de malware al op de computer actief zijn. Door het aanroepen van het ShellExecute-proces kan de malware de eigen rechten verhogen en zo de computer in z'n geheel overnemen. Ondanks de update verwacht Microsoft dat meer malware deze tactiek zal toepassen.
Deze posting is gelocked. Reageren is niet meer mogelijk.