Windows 10 z nową technologią ochrony pamięci jądra systemowego

Windows 10 z nową technologią ochrony pamięci jądra systemowego

Autor: Krzysztof Sulikowski

Opublikowano: 7/13/2020, 1:36 PM

Liczba odsłon: 3013

Hakerzy, skonfrontowani z technologiami chroniącymi pamięć, takimi jak Code Integrity (CI) czy Control Flow Guard (CFG), kierują się w stronę danych. W nieustającej walce z nimi Microsoft zagrał nową kartą i wprowadził technologię Kernel Data Protection (KDP), która uniemożliwia ataki z wykorzystaniem technik uszkodzenia danych, by obchodzić zabezpieczenia i podnosić uprawnienia.

Kernel Data Protection (KDP) zabezpiecza części jądra (kernela) Windows i sterowników poprzez ochronę opartą na wirtualizacji (VBS). KDP jest zestawem API, które dają możliwość oznaczenia części pamięci kernela jako tylko-do-odczytu, co uniemożliwia hakerom modyfikowanie chronionej pamięci. Przykładowo w atakach używane bywały podpisane, lecz podatne sterowniki, które atakowały struktury danych zasad i instalowały złośliwy, niepodpisany sterownik. KDP zabezpiecza przed takimi atakami poprzez zapewnienie, że struktury danych zasad nie mogą być naruszone.

Koncepcja ochrony pamięci jądra z atrybutem tylko-do-odczytu bierze pod uwagę istotne dla jądra Windows aplikacje, w tym składniki skrzynki odbiorczej, produkty bezpieczeństwa, a nawet sterowniki innych firm, w tym oprogramowanie DRM i anti-cheatowe. Oprócz podniesienia bezpieczeństwa i ochrony przed manipulacją KDP zapewnia inne korzyści, takie jak:

  • Poprawa wydajności: KDP zmniejsza obciążenie komponentów zaświadczeń, które nie będą musiały już cyklicznie weryfikować zmiennych danych, które zostały zabezpieczone przed zapisem.
  • Poprawa niezawodności: KDP ułatwia diagnozowanie błędów związanych z uszkodzeniem pamięci, które niekoniecznie są lukami w zabezpieczeniach.
  • Poprawa wdrażania: Zachęcanie twórców sterowników i sprzedawców do zachowania zgodności z zabezpieczeniami opartymi na wirtualizacji.

KDP korzysta z technologii domyślnie obsługiwanych na urządzeniach spełniających wymagania Secured-core PCs i dodaje do nich kolejną warstwę ochrony wrażliwych danych konfiguracji systemu.