Microsoft pondrá más difícil el robo de contraseñas

El robo de contraseñas es un problema muy grave en el que Microsoft parece haber puesto el foco desde hace ya bastante tiempo. Un punto clave para ello es la implantación de sistemas de acreditación en dos o más pasos, limitando el alcance potencial de un contraseña robada o insegura, claro, pero también analizando los medios empleados por los ciberdelincuentes para hacerse con ellas, para intentar ponerles solución.

Hoy leemos, en Bleeping Computer, que el Servicio de Subsistema de Autoridad de Seguridad Local, LSASS por sus siglas en inglés, ha sido explotado por los ciberdelincuentes precisamente para ese fin, el de comprometer credenciales que, posteriormente, son empleadas en múltiples esquemas de ataques dentro de infraestructuras de red, con el fin de propagarse lateralmente a otros sistemas de la misma red.

El  proceso es efectivo cuando un sistema es empleado con más de una cuenta, y consiste en obtener credenciales de administración en el mismo y, posteriormente, llevar a cabo un proceso de volcado de memoria  de LSASS, que se ejecuta localmente en Windows. Y es que el contenido de dicho volcado de memoria, entre otras cosas, contiene hashes NTLM de las credenciales de aquellos usuarios que hayan empleado dicho sistema.

Microsoft ya había tomado medidas en el pasado frente a esta amenaza. Por ejemplo, Windows Defender bloquea aplicaciones que llevan a cabo esta tarea, como Minikatz. El problema es que, pese a ello, los ciberdelincuentes todavía pueden diseñar herramientas específicas o recurrir a otras no identificadas y llevar a cabo el volcado de memoria para obtener dichos hashes, que facilitarán el posterior ataque a otras cuentas y sistemas que se puedan ver comprometidos.

Así pues, Microsoft ha tomado una decisión más contundente, que pasa por limitar de una manera bastante férrea el acceso al proceso LSASS, y para tal fin ha creado una nueva regla, llamada «Bloquear el robo de credenciales del subsistema de autoridad de seguridad local de Windows». Sus valores, por defecto, serán Configurado y el modo predeterminado se establecerá en Bloquear .

Este movimiento se encuadra en una política más beligerante por parte de Microsoft contra las amenazas. En la misma se están tomando algunas medidas  que limitan el acceso a funciones ampliamente empleadas por algunos usuarios, pero que en su estado actual no proporcionan el nivel de seguridad necesario para mantenerlas operativas. Dichas medidas tienen como fin reducir la superficie de ataque y, muy probablemente, a corto y medio plazo seguiremos viendo movimientos en este sentido.

¿Conveniencia o seguridad? Es la pregunta que surge en este contexto y con este paso de Microsoft, y es que algunos de estos cambios pueden incidir negativamente, como ya hemos planeado antes, en el trabajo de algunas personas. El problema es que, por su naturaleza, hay muchos elementos que son potencialmente inseguros, y pese al análisis en profundidad de los mismos, no parecen aparecer soluciones que permitan mantenerlos en las mismas condiciones que hasta ahora, pero con un nivel de seguridad aceptable.

Así, en casos como este, pienso que Microsoft actúa de la manera más responsable posible, proporcionando un nivel de seguridad conforme con lo que esperan los usuarios. Y, a posteriori, siempre que sea posible, cabe esperar mejorar a ese respecto, como recuperación de funciones una vez que se hayan blindado. Pero, a día de hoy, la seguridad debe ser lo primero.

La entrada Microsoft pondrá más difícil el robo de contraseñas es original de MuySeguridad. Seguridad informática.