Security

Microsoft Defender predictive shielding stopper AD-angreb

3 min læsning

Resumé

Microsoft beskrev, hvordan Defenders predictive shielding kan inddæmme kompromittering af Active Directory-domæner ved at begrænse eksponerede konti med høje rettigheder, før angribere kan genbruge stjålne legitimationsoplysninger. Funktionen hjælper sikkerhedsteams med at reducere lateral movement og lukke reaktionsgabet under hurtigt udviklende identitetsangreb.

Brug for hjælp med Security?Tal med en ekspert

Introduktion

Identitetsbaserede angreb kan eskalere fra en enkelt kompromitteret server til fuld kontrol over et Active Directory-domæne på få timer. Microsofts nyeste sikkerhedsforskning viser, hvordan predictive shielding i Microsoft Defender kan afbryde den vej ved proaktivt at begrænse eksponerede privilegerede konti, før angribere operationaliserer stjålne legitimationsoplysninger.

For sikkerhedsteams er dette vigtigt, fordi traditionel respons ofte først starter, når ondsindet brug af en konto er observeret. Predictive shielding ændrer denne model ved at reagere på sandsynlig eksponering af legitimationsoplysninger næsten i realtid.

Hvad er nyt

Microsoft fremhævede en virkelig angrebskæde fra den offentlige sektor i 2025 og forklarede, hvordan predictive shielding, som nu er en del af automatic attack disruption i Microsoft Defender, ændrer udfaldet.

Vigtige funktioner omfatter:

  • Registrering af aktivitet efter et brud, som er forbundet med tyveri af legitimationsoplysninger på en enhed
  • Vurdering af, hvilke identiteter med høje rettigheder der sandsynligvis blev eksponeret
  • Anvendelse af just-in-time-begrænsninger for at reducere misbrug af legitimationsoplysninger og lateral movement
  • Reduktion af angriberes adgang til følsomme identitetsoperationer, mens responsmedarbejdere undersøger hændelsen

Undersøgelsen viste, hvordan angribere bevægede sig fra en IIS web shell til lokal privilege escalation, credential dumping med Mimikatz og senere misbrug af adgang til domain controller, Exchange-delegering og Impacket-værktøjer.

Sådan hjælper predictive shielding

I hændelsen, som Microsoft beskrev, gik angriberne hurtigt fra indledende adgang til operationer på domæneniveau, herunder:

  • Dumpning af LSASS, SAM og andet legitimationsmateriale
  • Oprettelse af planlagte opgaver på en domain controller
  • Adgang til NTDS-data til offline misbrug af legitimationsoplysninger
  • Placering af en web shell på Exchange Server
  • Enumerering og misbrug af mailbox delegation permissions
  • Brug af værktøjer som Impacket, PsExec og secretsdump til lateral movement

Microsoft siger, at predictive shielding kan afbryde dette mønster tidligere ved at begrænse konti i det øjeblik, de sandsynligvis er eksponeret, i stedet for at vente på bekræftet ondsindet brug. Denne tilgang er designet til at lukke "speed gap" mellem tyveri af legitimationsoplysninger og forsvarernes respons.

Betydning for IT-administratorer

For forsvarere, der administrerer hybrid identitet og lokal Active Directory, er dette væsentligt. Domænekompromittering er vanskelig at inddæmme, fordi administratorer ikke bare kan lukke domain controllers eller centrale identitetstjenester ned uden at forstyrre forretningen.

Predictive shielding giver SOC- og identitetsteams endnu et lag af automatiseret inddæmning ved at:

  • Beskytte konti med høje rettigheder under hændelser med tyveri af legitimationsoplysninger
  • Bremse angriberes lateral movement på tværs af servere og identitetsinfrastruktur
  • Give responsmedarbejdere tid til afhjælpende opgaver som nulstilling af adgangskoder, validering af ACL'er og rotation af krbtgt

Funktionen er tilgængelig som en standardforbedring for kunder med Microsoft Defender for Endpoint P2, der opfylder Defender-forudsætningerne.

Næste skridt

Sikkerhedsadministratorer bør:

  • Gennemgå indstillingerne for Microsoft Defender automatic attack disruption
  • Bekræfte berettigelse og forudsætninger for predictive shielding
  • Hærde eksponeringsveje for IIS, Exchange og domain controllers
  • Revidere privilegerede identiteter og delegerede tilladelser
  • Validere incident response-playbooks for scenarier med domænekompromittering

Den vigtigste konklusion er klar: proaktiv inddæmning af identitet bliver stadig mere afgørende for at forsvare Active Directory-miljøer mod moderne teknikker til lateral movement.

Brug for hjælp med Security?

Vores eksperter kan hjælpe dig med at implementere og optimere dine Microsoft-løsninger.

Tal med en ekspert

Hold dig opdateret om Microsoft-teknologier

Læs den originale artikel af Microsoft Defender Security Research Team
Microsoft Defenderpredictive shieldingActive Directorylateral movementdomain compromise

Relaterede indlæg

Security

Sapphire Sleet macOS-indtrængen: vigtig Defender-indsigt

Microsoft Threat Intelligence beskrev en macOS-fokuseret kampagne fra Sapphire Sleet, der bruger social engineering og falske softwareopdateringer i stedet for at udnytte sårbarheder. Angrebskæden er afhængig af, at brugeren selv starter AppleScript og Terminal-eksekvering for at omgå indbyggede macOS-beskyttelser, hvilket gør lagdelt sikkerhed, brugerbevidsthed og endpoint-detektion særligt vigtigt.

Security

Kryptografisk inventarstrategi til quantum-parathed

Microsoft opfordrer organisationer til at betragte kryptografisk inventar som det første praktiske skridt mod post-quantum-parathed. Virksomheden skitserer en kontinuerlig livscyklus for Cryptography Posture Management, der hjælper sikkerhedsteams med at opdage, vurdere, prioritere og afhjælpe kryptografiske risici på tværs af kode, netværk, runtime og lagring.

Security

AI-hændelsesrespons: Det skal sikkerhedsteams ændre

Microsoft siger, at traditionelle principper for incident response stadig gælder for AI-systemer, men teams skal tilpasse sig ikke-deterministisk adfærd, hurtigere skade i stor skala og nye risikokategorier. Virksomheden fremhæver behovet for bedre AI-telemetri, tværfunktionelle responsplaner og trinvis afhjælpning for hurtigt at begrænse problemer, mens langsigtede løsninger udvikles.

Security

Agentic SOC fra Microsoft: fremtidens SecOps

Microsoft skitserer en "agentic SOC"-model, der kombinerer autonom trusselsforstyrrelse med AI-agenter for at fremskynde undersøgelser og reducere alarmtræthed. Tilgangen skal flytte sikkerhedsdrift fra reaktiv hændelsesrespons til hurtigere og mere adaptivt forsvar, så SOC-teams får mere tid til strategisk risikoreduktion og governance.

Security

Storm-2755 lønangreb rammer canadiske ansatte

Microsoft har beskrevet en økonomisk motiveret Storm-2755-kampagne, der målretter canadiske ansatte med angreb på lønomdirigering. Trusselsaktøren brugte SEO poisoning, malvertising og adversary-in-the-middle-teknikker til at stjæle sessioner, omgå ældre MFA og ændre direct deposit-oplysninger, hvilket gør phishing-resistent MFA og sessionsovervågning til kritiske forsvar.

Security

EngageSDK Android-sårbarhed ramte millioner

Microsoft har offentliggjort en alvorlig intent redirection-fejl i tredjepartsbiblioteket EngageSDK til Android, hvilket potentielt udsatte millioner af brugere af crypto wallet-apps for dataeksponering og privilege escalation. Problemet blev rettet i EngageSDK version 5.2.1, og sagen understreger den voksende sikkerhedsrisiko ved uigennemsigtige afhængigheder i mobilappens supply chain.