Microsoft está actualizando Defender para bloquear dispositivos Linux para su propio beneficio

Las organizaciones que utilizan Microsoft Defender for Endpoint ahora pueden aislar los dispositivos Linux de sus redes para evitar que los actores maliciosos se conecten a ellos de forma remota. The Register informa: La función de aislamiento del dispositivo está en versión preliminar pública, lo que refleja lo que el producto ya está haciendo para los sistemas Windows. «Algunos escenarios de ataque pueden requerir que aísle un dispositivo de la red», escribió Microsoft en una publicación de blog. “Esta acción puede ayudar a evitar que el atacante tome el control del dispositivo comprometido y realice otras actividades, como la exfiltración de datos y el movimiento lateral. Al igual que los dispositivos de Windows, esta función de aislamiento de dispositivos lo es”. Los intrusos no podrán conectarse al dispositivo ni realizar operaciones como tomar el control no autorizado del sistema o robar datos confidenciales, afirma Microsoft. Según el proveedor, cuando el dispositivo está aislado, está restringido en qué procesos y destinos web están permitidos. Esto significa que si están detrás de un túnel VPN completo, no pueden acceder a los servicios en la nube de Microsoft Defender for Endpoint. Microsoft recomienda que las organizaciones utilicen una VPN de túnel dividido para el tráfico basado en la nube tanto para Defender for Endpoint como para Defender Antivirus. Una vez resuelta la situación que provocó el aislamiento, las organizaciones pueden volver a conectar el dispositivo a la red. El sistema está aislado a través de API. Los usuarios pueden ir a la página del dispositivo de sistemas Linux desde el portal de Microsoft 365 Defender, donde verán la pestaña Aislar dispositivo en la parte superior derecha, junto con otras acciones de respuesta. Microsoft ha descrito las API para aislar y liberar el dispositivo del bloqueo.