Yaktın bizi Microsoft! Saldırı yüzeyimiz daraldı

Microsoft siber saldırganların işini oldukça zorlaştıracak bir adım attı.

Yayınlanan “Windows Defender Exploit Guard” ile saldırganların yetki yükseltmek ve ağ genelinde yatayda yayılmak için kullandıkları pek çok teknik engellenmiş görünüyor.

Windows 10, Windows Server 2016 ve Office 2010, 2013, 2016 ve 365 platformlarını destekleyen bu yeni çözüm saldırı vektörleri dikkate alınarak tasarlanmış.

“Saldırı yüzeyi daraltma” mantığıyla yola çıkan Microsoft, Petya ve Wannacry gibi zararlı yazılım salgınlarında gördüğümüz davranışlarla siber suçluların yaygın olarak kullandığı teknikleri engellemeyi amaçlıyor.

Bu çerçevede Windows 10 (version 1803) bizim için 5 önemli saldırı yüzeyini neredeyse devre dışı bırakmış gibi görünüyor:

  • Öncelik veya oluşturulma tarihi gibi kriterlere ve güvenli listede olup olmadıklarına bağlı olarak uygulamaların çalışmasını engellemek
  • Fidye yazılımlara karşı gelişmiş koruma
  • Windows lsass.exe (Local Security Authority SubSytem – sızma testi yaptırdıysanız bunun ne olduğunu biliyorsunuzdur zaten) üzerinde kullanıcı adı ve parola bilgilerinin çalınmasını engellemek
  • PSExec ve WMI ile proses başlatılmasını engellemek (yatayda yayılmak için bizlerin de sıkça kullandığı iki araç)
  • Güvenilmeyen veya imzalı olmayan programların USB’den çalıştırılmasını engellemek
  • Email istemcisi veya webmail içeriğinde uygulama çalıştırılmasının engellenmesi
  • Office uygulamaların çalıştırılabilir dosya oluşturmasının engellenmesi
  • İndirilmiş çalıştırılabilir içeriği Javascript veya VBScript ile çalıştırmanın engellenmesi

Windows Defender Exploit Guard’ın almamıza imkan sağladığı güvenlik tedbirleri bunlarla sınırlı değil, listenin devamı henüz BETA testi aşamasında ama umut vadeden diğer özelliklere https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-exploit-guard/attack-surface-reduction-exploit-guard#attack-surface-reduction-rules adresinden ulaşabilirsiniz.

Tahmin edeceğiniz gibi, sızma testi yapan kişi olarak hayatımı zorlaştırdığı için, bu yenilikten biraz şikayetçi olmam doğal. Ancak, siber suçluların sıkça kullandığı WMI ile ağ üzerindeki diğer sistemlere sızma veya Office uygulamaları üzerinden başka proseslere kod gönderme gibi işlemlerin zorlaştığını görmek oldukça sevindirici.

 

 

Hits: 123

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*