Microsoft Defender para punto de conexión ahora usa la interrupción automática de ataques para aislar las cuentas de usuario en peligro y bloquear el movimiento lateral en ataques de manos en el teclado con la ayuda de una nueva funcionalidad de «contener usuario» en versión preliminar pública.
En tales incidentes, como los que involucran ransomware operado por humanos, los actores de amenazas se infiltran en las redes, se mueven lateralmente después de escalar privilegios a través de cuentas robadas y despliegan cargas útiles maliciosas.
Según Microsoft, Defender for Endpoint ahora evita los intentos de movimiento lateral de los atacantes dentro de la infraestructura de TI local o en la nube de las víctimas al aislar temporalmente las cuentas de usuario comprometidas (también conocidas como identidades sospechosas) que podrían explotar para lograr sus objetivos.
«La interrupción de ataques logra este resultado al contener a los usuarios comprometidos en todos los dispositivos para superar a los atacantes antes de que tengan la oportunidad de actuar maliciosamente, como usar cuentas para moverse lateralmente, realizar robo de credenciales, exfiltración de datos y cifrado de forma remota», dijo Rob Lefferts, vicepresidente corporativo de Microsoft 365 Security.
«Esta capacidad predeterminada identificará si el usuario comprometido tiene alguna actividad asociada con cualquier otro punto final y cortará inmediatamente todas las comunicaciones entrantes y salientes, conteniéndolas esencialmente».
Según Microsoft, cuando se detectan las etapas iniciales de un ataque operado por humanos en un punto de conexión mediante señales de varias cargas de trabajo de Microsoft 365 Defender (incluidas identidades, puntos de conexión, correo electrónico y aplicaciones SaaS), la característica de interrupción de ataque automatizada bloqueará el ataque en ese dispositivo.
Al mismo tiempo, Defender para punto de conexión también «inoculará» todos los demás dispositivos de la organización bloqueando el tráfico malintencionado entrante, dejando a los atacantes sin más objetivos.
«Cuando se contiene una identidad, cualquier dispositivo incorporado de Microsoft Defender para punto de conexión compatible bloqueará el tráfico entrante en protocolos específicos relacionados con ataques (inicios de sesión de red, RPC, SMB, RDP) al tiempo que habilita el tráfico legítimo», explica Redmond en un documento de soporte.
«Esta acción puede ayudar significativamente a reducir el impacto de un ataque. Cuando se contiene una identidad, los analistas de operaciones de seguridad tienen tiempo adicional para localizar, identificar y remediar la amenaza a la identidad comprometida».
Microsoft agregó la interrupción automática de ataques a su solución Microsoft 365 Defender XDR (Extended Detection and Response) en noviembre de 2022 durante su conferencia anual Microsoft Ignite para desarrolladores y profesionales de TI.
La capacidad ayuda a contener los ataques en curso y a aislar automáticamente los activos afectados al limitar el movimiento lateral a través de las redes comprometidas.
«Desde agosto de 2023, más de 6.500 dispositivos se han librado del cifrado de las campañas de ransomware ejecutadas por grupos de hackers como BlackByte y Akira, e incluso equipos rojos a sueldo», según los datos internos de Microsoft.
Defender para punto de conexión también es capaz de aislar dispositivos Windows pirateados y no administrados desde junio de 2022, lo que impide que los actores malintencionados se muevan lateralmente a través de las redes de las víctimas al bloquear toda la comunicación hacia y desde los dispositivos comprometidos.
Fuente y redacción: thehackernews.com
