Microsoft a construit aplicații de securizare la nivel de firmware pe PC-urile Windows 10 Secured-Core pentru întreprinderi, iar acum aduce capabilități similare cu software-ul său antivirus, Microsoft Defender Advanced Threat Protection (ATP).
PC-urile secured-core sunt câteva PC-uri cu Windows 10, dintre care Surface Pro X, HP Elite Dragonfly, Dell Latitude 7400 și a patra generație Lenovo ThinkPad X1 Yoga.
Una dintre protecțiile cheie la nivel de hardware pe care le oferă este protecția DMA (Kernel Direct Memory Access), care poate atenua atacurile practice care exploatează, de exemplu, interfața Thunderbolt pentru a fura date din memorie.
Altele includ Trusted Platform Module (TPM), securitate bazată pe virtualizare, Windows Defender System guard, integritatea codului protejat de hypervisor (HVCI) și instrumente pentru a bloca execuția codului neverificat.
Aceste tipuri de PC-uri sunt ținte ale organizațiilor care sunt în vizorul hackerilor sprijiniți de stat, precum grupul rus Fancy Bear și alte surse recente de ransomware.
Noul scaner UEFI (Unified Extensible Firmware Interface) din Windows Defender ATP scanează interfața dintre sistemul de operare și firmware, ceea ce face ca o caracteristică de securitate care a fost anterior exclusivă pentru PC-urile Windows 10 Secured-Core să fie disponibilă mai pe larg.
Scanerul ar trebui să detecteze când un rootkit sau alte programe malware afectează codul folosit pentru a porni un computer utilizând informații de la producătorii plăcii de bază.
„Scanerul UEFI este o componentă nouă a soluției antivirus încorporate pe Windows 10 și oferă capacitatea unică lui Microsoft Defender ATP de a scana în sistemul de fișiere firmware și de a efectua evaluarea securității”, spune echipa Microsoft Defender ATP într-o postare pe blog.
„Integrează ideile producătorilor de chipset-uri partenere și extinde în continuare protecția completă a punctului final oferită de Microsoft Defender ATP.”
După cum explică Microsoft, scanerul UEFI poate ajuta atacurile la fața locului care exploatează sistemele în care este dezactivat boot-ul securizat sau chipsetul de pe placa de bază este neconfigurat.
Modificând firmware-ul sau driverele UEFI, atacatorii pot face lucruri rele precum dezactivarea antivirusului, toate sub vizibilitatea antivirusului tradițional și a sistemului de operare.
Scanerul UEFI rulează o analiză a firmware-ului pe care îl primește de la stocarea flash Serial Peripheral Interface (SPI), ceea ce nu este o sarcină ușoară, având în vedere că firmware-ul nu este accesibil din memoria principală a unui sistem.
„Prin obținerea firmware-ului, scanerul este capabil să analizeze firmware-ul, permițându-i Microsoft Defender ATP să inspecteze conținutul firmware-ului în timpul rulării”, spune Microsoft.