Security

{{Microsoft Defender predictive shielding zaustavlja AD napade}}

3 min čitanja

Sažetak

Microsoft je objavio kako Defender predictive shielding može da obuzda kompromitaciju Active Directory domena ograničavanjem izloženih naloga sa visokim privilegijama pre nego što napadači ponovo iskoriste ukradene akreditive. Ova mogućnost pomaže bezbednosnim timovima da smanje lateralno kretanje i zatvore jaz u odgovoru tokom brzih identity napada.

Trebate pomoć sa Security?Razgovarajte sa stručnjakom

Uvod

Napadi zasnovani na identitetu mogu eskalirati sa jednog kompromitovanog servera do pune kontrole nad Active Directory domenom za svega nekoliko sati. Najnovije Microsoft bezbednosno istraživanje pokazuje kako predictive shielding u Microsoft Defender može da prekine taj put proaktivnim ograničavanjem izloženih privilegovanih naloga pre nego što napadači operacionalizuju ukradene akreditive.

Za bezbednosne timove ovo je važno jer tradicionalni odgovor često počinje tek nakon što se uoči zlonamerna upotreba naloga. Predictive shielding menja taj model tako što reaguje na verovatnu izloženost akreditiva gotovo u realnom vremenu.

Šta je novo

Microsoft je istakao stvarni lanac napada iz javnog sektora iz 2025. godine i objasnio kako predictive shielding, sada deo funkcije automatic attack disruption u Microsoft Defender, menja ishod.

Ključne mogućnosti uključuju:

  • Otkrivanje aktivnosti nakon kompromitacije povezane sa krađom akreditiva na uređaju
  • Procenu koji su identiteti sa visokim privilegijama verovatno bili izloženi
  • Primenu just-in-time ograničenja radi smanjenja zloupotrebe akreditiva i lateralnog kretanja
  • Smanjenje pristupa napadača osetljivim identity operacijama dok timovi istražuju incident

Istraživanje je pokazalo kako su se napadači kretali od IIS web shell-a do lokalne eskalacije privilegija, izvlačenja akreditiva pomoću Mimikatz-a, a zatim i zloupotrebe pristupa domain controller-u, Exchange delegacije i Impacket alata.

Kako predictive shielding pomaže

U incidentu koji je Microsoft opisao, napadači su brzo napredovali od početnog pristupa do operacija na nivou domena, uključujući:

  • Izvlačenje LSASS, SAM i drugog materijala sa akreditivima
  • Kreiranje scheduled task-ova na domain controller-u
  • Pristup NTDS podacima radi offline zloupotrebe akreditiva
  • Postavljanje web shell-a na Exchange Server
  • Enumeraciju i zloupotrebu mailbox delegation dozvola
  • Korišćenje alata kao što su Impacket, PsExec i secretsdump za lateralno kretanje

Microsoft navodi da predictive shielding može ranije da prekine ovaj obrazac ograničavanjem naloga u trenutku kada su verovatno izloženi, umesto čekanja na potvrđenu zlonamernu upotrebu. Taj pristup je osmišljen da zatvori „jaz u brzini“ između krađe akreditiva i odgovora odbrambenog tima.

Uticaj na IT administratore

Za zaštitnike koji upravljaju hibridnim identitetom i lokalnim Active Directory okruženjima, ovo je značajno. Kompromitaciju domena je teško obuzdati jer administratori ne mogu jednostavno da isključe domain controller-e ili ključne identity servise bez ometanja poslovanja.

Predictive shielding daje SOC i identity timovima još jedan sloj automatizovanog obuzdavanja tako što:

  • Štiti naloge sa visokim privilegijama tokom događaja krađe akreditiva
  • Usporava lateralno kretanje napadača kroz servere i identity infrastrukturu
  • Kupuje vreme timovima za odgovor za zadatke sanacije kao što su resetovanje lozinki, validacija ACL-ova i rotacija krbtgt naloga

Funkcija je dostupna kao unapred pripremljeno poboljšanje za korisnike Microsoft Defender for Endpoint P2 koji ispunjavaju Defender preduslove.

Sledeći koraci

Administratori bezbednosti treba da:

  • Pregledaju podešavanja Microsoft Defender automatic attack disruption funkcije
  • Potvrde podobnost i preduslove za predictive shielding
  • Ojačaju IIS, Exchange i puteve izloženosti domain controller-a
  • Provere privilegovane identitete i delegirane dozvole
  • Validiraju playbook-ove za odgovor na incidente za scenarije kompromitacije domena

Ključna poruka je jasna: proaktivno obuzdavanje identiteta postaje neophodno za zaštitu Active Directory okruženja od modernih tehnika lateralnog kretanja.

Trebate pomoć sa Security?

Naši stručnjaci mogu vam pomoći da implementirate i optimizujete vaša Microsoft rešenja.

Razgovarajte sa stručnjakom

Budite u toku sa Microsoft tehnologijama

Pročitajte originalni članak od Microsoft Defender Security Research Team
Microsoft Defenderpredictive shieldingActive Directorylateral movementdomain compromise

Povezani članci

Security

Sapphire Sleet macOS upad: ključni Defender uvidi

Microsoft Threat Intelligence je objavio detalje kampanje usmerene na macOS koju sprovodi Sapphire Sleet, a koja koristi social engineering i lažna ažuriranja softvera umesto iskorišćavanja ranjivosti. Lanac napada se oslanja na pokretanje AppleScript i Terminal komandi od strane korisnika kako bi zaobišao nativne macOS zaštite, što dodatno naglašava važnost slojevite odbrane, obuke korisnika i endpoint detekcije.

Security

Strategija kriptografskog inventara za kvantnu spremnost

Microsoft poziva organizacije da kriptografski inventar tretiraju kao prvi praktični korak ka post-quantum spremnosti. Kompanija predstavlja kontinuirani lifecycle upravljanja kriptografskim stanjem kako bi bezbednosni timovi mogli da otkriju, procene, odrede prioritete i otklone kriptografske rizike kroz kod, mreže, runtime okruženja i skladištenje.

Security

AI odgovor na incidente: šta timovi moraju menjati

Microsoft navodi da se tradicionalni principi odgovora na incidente i dalje primenjuju na AI sisteme, ali timovi moraju da se prilagode nedeterminističkom ponašanju, bržem nastanku štete u velikom obimu i novim kategorijama rizika. Kompanija ističe potrebu za boljom AI telemetrijom, planovima odgovora koji uključuju više funkcija i faznom sanacijom kako bi se problemi brzo obuzdali dok se razvijaju dugoročnija rešenja.

Security

{{Agentic SOC u Microsoft viziji budućeg SecOps-a}}

Microsoft predstavlja model „agentic SOC“ koji kombinuje autonomno ometanje pretnji i AI agente kako bi ubrzao istrage i smanjio zamor od upozorenja. Cilj pristupa je da bezbednosne operacije pomeri sa reaktivnog odgovora na incidente ka bržoj i prilagodljivijoj odbrani, dajući SOC timovima više vremena za strateško smanjenje rizika i upravljanje.

Security

{{Storm-2755 napadi na platni spisak u Kanadi}}

{{Microsoft je objavio detalje finansijski motivisane kampanje Storm-2755 usmerene na zaposlene u Kanadi kroz napade na preusmeravanje plata. Akter pretnje koristio je SEO poisoning, malvertising i adversary-in-the-middle tehnike za krađu sesija, zaobilaženje zastarelog MFA i izmenu podataka za direktnu uplatu, što phishing-resistant MFA i nadzor sesija čini ključnom odbranom.}}

Security

Android SDK Vulnerability Exposed Millions of Wallets

Microsoft je otkrio ozbiljan propust preusmeravanja intent-a u biblioteci treće strane EngageSDK za Android, čime su milioni korisnika kripto novčanika bili potencijal izloženi riziku od otkrivanja podataka i eskalacije privilegija. Problem je ispravljen u EngageSDK verziji 5.2.1, a slučaj pokazuje rastući bezbednosni rizik netransparentnih zavisnosti u lancu snabdevanja mobilnih aplikacija.