Microsoft Defender bloquea por defecto el robo de credenciales locales en Windows

El antivirus nativo de Windows, Microsoft Defender, ha incorporado una nueva característica por defecto con la que bloquea los intentos de robar las credenciales guardadas en el sistema a través del subsistema local de seguridad del sistema operativo.

La compañía estadounidense ha extendido las medidas de protección activadas por defecto en el sistema operativo Windows y su variante para servidores Windows Server, con una nueva norma de seguridad que busca reducir la superficie de impacto de los ciberataques, como ha informado Microsoft en un documento de soporte.

La novedad más destacada hace referencia a una función conocida como "bloquear el robo de credenciales del subsistema de autoridad de seguridad local de Windows (LSASS, por sus siglas en inglés)", que añade protección adicional al elemento de Windows Defender encargado de las contraseñas, reseñó Portaltic.

LSASS autentica a los usuarios que acceden a un dispositivo Windows, incluidas numerosas claves, y cuenta con la protección de la función Guardián de Credenciales de Windows Defender.

No obstante, algunas organizaciones no pueden activar esta protección en sus dispositivos por problemas de compatibilidad. En estos casos, los 'hackers' pueden usar herramientas para acceder a las credenciales en texto llano y las claves de 'hash' NTLM para otras contraseñas.

Con el nuevo protocolo, el bloqueo del robo de credenciales del subsistema de seguridad de Windows pasa a estar configurado por defecto, con la opción de 'bloquear' seleccionada de serie, lo que reduce la necesidad de notificaciones al usuario final.

Los administradores de las empresas podrán cambiar este aspecto manualmente si lo desean, y contarán con tres modos de opciones para elegir: auditoría, advertencia o deshabilitado