Microsoft セキュリティブログにて、LSASS 資格情報ダンピング攻撃(LSASS credential dumping attacks)の検出と防止についての情報です。
Detecting and preventing LSASS credential dumping attacks - Microsoft Security Blog
要約すると、
OS の資格情報を取得することは攻撃者の目的の1つであり、現在のユーザーの資格情報だけでなくドメイン管理者の資格情報も格納できる Windows の Local Security Authority Server Service(LSASS)プロセスのメモリ内資格情報も標的にされています。
Microsoft Defender for Endpoint には、高度な検出機能と LSASS からの資格情報の盗用をブロックする Attack surface reduction(ASR)ルールがあります。
攻撃面の縮小ルールリファレンス | Microsoft Learn
2022年5月、マイクロソフトは LSASS 資格情報ダンピング手法の検出とブロックに関する評価に参加し、Defender for Endpoint が 15 のテストケースすべてに合格(防止または検出)しました。
2022年3月から8月にかけての脅威データ分析によると、この攻撃に使用されるのは、rundll32.exe にロードされる Comsvc.dll、Mimikatz、Procdmp.exe、Taskmgr.exe であり、Mimikatz 以外は合法的なデジタル署名されたバイナリです。
最初は Defender for Endpoint のデフォルト設定で 11個のテストケースを防止し、機能改善後の再テストでは残る 4つのテストケースも防止しました。
(詳細結果は、リンク先をご参照)
Windows 11 では、LSASS プロセスに対して PPL(Protected Process Light)を有効にし、資格情報のガードを既定で有効にしました。(Windows 11 の 新規の 22H2 は既定で有効)
追加の LSA の保護の構成 | Microsoft Learn
Windows Defender Credential Guard も Windows 11 Enterprise 22H2 以降は既定で有効になっています。
Windows Defender Credential Guard (Windows) の管理 - Windows security | Microsoft Learn
