Atualização do Microsoft Defender causa confusão na proteção de pilha de hardware do Windows
20 de Abril de 2023

Em uma confusão, uma atualização recente do Microsoft Defender lançou uma nova função de segurança chamada 'Proteção de Pilha com Reforço de Hardware em Modo Kernel', enquanto removeu a função de proteção LSA.

Infelizmente, a Microsoft não forneceu nenhuma documentação sobre essa mudança, gerando mais perguntas do que respostas.

A Proteção da Autoridade de Segurança Local, também conhecida como Proteção LSA, é uma função de segurança que protege informações confidenciais, como credenciais, impedindo que códigos não confiáveis sejam injetados no processo LSASS e no processo de despejo de memória do LSASS.

Os usuários do Windows podem habilitar a Proteção LSA na página de configurações de Segurança do Windows; Segurança do Dispositivo; Isolamento de Núcleo para CPUs que suportam virtualização.

No entanto, nas últimas semanas, os usuários do Windows 11 relatam que não conseguem habilitar a função de segurança Proteção da Autoridade de Segurança Local nas configurações de 'Isolamento de Núcleo' da Segurança do Windows.

Ao tentar fazê-lo, o Windows solicita que os usuários reiniciem o computador para habilitar a função, mas, após a reinicialização, a função não é habilitada e o Windows exibe novamente uma solicitação de reinício.

A Microsoft posteriormente afirmou que, se você tiver habilitado a Proteção LSA e reiniciado seu dispositivo pelo menos uma vez, pode ignorar esses avisos.

Também foi fornecido um procedimento alternativo para verificar se a Proteção LSA está habilitada e como configurar duas chaves do Registro para desativar os avisos.

Uma atualização recente do Microsoft Defender tornou essa função ainda mais confusa, pois, após a instalação, a função Proteção LSA é removida e substituída por uma nova função chamada Proteção de Pilha com Reforço de Hardware em Modo Kernel.

A Proteção de Pilha com Reforço de Hardware em Modo Kernel é uma função de segurança que tenta prevenir ataques de fluxo de controle baseados em ROP (Programação Orientada a Retorno) que poderiam levar à execução de código.

"Para o código em execução no modo kernel, a CPU confirma os endereços de retorno solicitados com uma segunda cópia do endereço armazenado na pilha sombra para impedir que os invasores substituam um endereço que execute código malicioso," explica a configuração da Proteção de Pilha com Reforço de Hardware em Modo Kernel do Windows.

"Observe que nem todos os drivers são compatíveis com esta função de segurança."

No entanto, para usar essa função, um dispositivo Windows deve estar usando CPUs Intel Tiger Lake ou AMD Zen3 e posteriores.

Portanto, o Windows só exibirá essa nova configuração se o dispositivo tiver o hardware necessário.

Assim como a Integridade de Memória, ao habilitar a Proteção de Pilha com Reforço de Hardware em Modo Kernel, o Windows garantirá que nenhum driver incompatível seja carregado no Windows.

Se houver, a função de Proteção de Pilha não será habilitada e o Windows exibirá uma lista de drivers incompatíveis.

Os usuários do Windows 11 agora relatam ver notificações de segurança do Windows informando que a nova função está desabilitada devido a drivers conflitantes.

"A Proteção de Pilha com Reforço de Hardware em Modo Kernel está desativada.

Seu dispositivo pode estar vulnerável," diz um aviso no Centro de Segurança do Windows.

No entanto, ao examinar a lista, ela está vazia, tornando confuso como habilitar a função.

Ainda pior, alguns drivers antitrapaça de jogos conflitantes não são detectados como incompatíveis, e a Proteção de Pilha com Reforço de Hardware em Modo Kernel ainda está habilitada.

Esses drivers conflitantes estão causando falhas no Windows ou impedindo que os jogos sejam executados quando a função de segurança é habilitada e um jogo é iniciado.

Os usuários do Windows 11 relataram esses problemas para jogos como PUBG, Valorant (Riot Vanguard), Bloodhunt, Destiny 2, Genshin Impact, Phantasy Star Online 2 (Game Guard) e Dayz.

Ainda mais frustrante é que os usuários do Windows 11 não podem mais habilitar a Proteção LSA, que não exigia CPUs mais novas, nas configurações de Segurança do Windows.

Não está claro se a Proteção LSA está incluída na Proteção de Pilha com Reforço de Hardware em Modo Kernel ou se foi removida completamente da interface de configurações do Windows, exigindo que os usuários a habilitem manualmente por meio do Registro.

Além disso, não houve nenhum aviso da Microsoft sobre a troca dessas funções de segurança ou sobre a adição da Proteção de Pilha com Reforço de Hardware em Modo Kernel, exceto pela breve descrição encontrada na Segurança do Windows e na documentação dispersa sobre a função de Proteção de Pilha.

A BleepingComputer perguntou à Microsoft sobre a nova função de Proteção de Pilha, se a Proteção LSA agora está incluída nela e os conflitos que as pessoas estão tendo.

Este artigo será atualizado com quaisquer respostas que recebermos.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...