Quand la nouvelle règle de Defender de Microsoft est appliquée, il devient plus difficile de voler les données d’authentification en mémoire. Celle-ci empêche les processus d’accéder à l’espace de mémoire vive exploité par le processus Lsass sans utiliser les mécanismes de microvirtualisation liés à Credential Guard.
Il est à rappeler que le processus Lsass constitue un point de vulnérabilité des systèmes Windows. L’outil Mimikatz peut, par exemple, y accéder et obtenir en mémoire vive des informations liées aux sessions en cours, y compris les mots de passe en clair. Cet outil est créé depuis 2017 par Benjamin Delpy, un chercheur français, et est initialement prévu pour démontrer la vulnérabilité du processus Lsass de Windows.
Pour éviter le risque de vol de données d’authentification dans l’espace mémoire de ce processus, l’éditeur a proposé en 2016 la fonctionnalité Credential Guard utilisant Virtual Secure Mode. Aujourd’hui, Microsoft met en œuvre une règle visant à bloquer le vol de données d’authentification par les fonctions de réduction de la surface d’attaque (ASR) de Defender for Endpoint.
