Kompromittierung der Zugangsdaten gestoppt
Dieser neue Test zeigte ein übliches Angreifer-Szenario auf - die Übernahme von Endgeräten in Firmennetzwerken durch die Kompromittierung der Zugangsdaten. AV-Comparatives testete Defender for Endpoint auf seine Fähigkeiten, einen sogenannten LSASS-Dump zu verhindern.Der Local Security Authority Subsystem Service (kurz LSASS) authentifiziert Nutzer, die sich an einem Windows-Computer anmelden wollen. Bedrohungsakteure nutzen diesen LSASS-Prozess häufig, um mithilfe von Dumping nützliche Anmeldedaten von Domänenbenutzern zu stehlen. Diese können dann verwendet werden, um sich seitlich innerhalb des Zielnetzwerks zu bewegen.
Dazu kommt häufig Mimikatz zum Einsatz, ein Tool zum Extrahieren von Benutzernamen und Passwörtern aus LSASS. Im LSASS-Anmeldedaten-Dump-Test von AV-Comparatives wurden dabei jetzt 15 verschiedene Angriffsmethoden verwendet, die bekannt und gängig sind.
Der Microsoft Defender for Endpoint hat sie alle gut abgewehrt - aber auch die anderen getesteten Produkte schnitten genauso gut ab. Avast Ultimate Business Security, Bitdefender GravityZone Business Security Enterprise, Kaspersky Endpoint Detection and Response Expert und Microsoft Defender for Endpoint haben laut AV-Comparatives alle ihre Hausaufgaben gemacht und auf ein gängiges Angriffs-Szenario einen wirksamen Schutz entwickelt. Microsoft hat dazu wichtige Prozesse und Richtlinien mit Windows 11 zum Standard gemacht, sodass die Nutzer der neuesten Versionen automatisch gut gegen diese Angriffe gewappnet sind.