Microsoft Defender Advanced Threat Protection (Microsoft Defender ATP) zyskuje nową funkcję bezpieczeństwa w postaci skanera UEFI (Unified Extensible Firmware Interface) działającego na poziomie oprogramowania układowego. Ataki na poziomie sprzętowym i firmware'u w ostatnich latach przybrały na sile, ponieważ nowoczesne pakiety chroniące wzmocniły znacząco ochronę w warstwie oprogramowania. Atakujący wykorzystują przepływ bootowania, by osiągnąć niskopoziomowe, złośliwe zachowanie, które jest trudne do wykrycia i mocno ryzykowne dla organizacji.
Windows Defender System Guard pomaga w ochronie przed atakami na firmware, zapewniając gwarancję secure boot poprzez oparte na sprzęcie funkcje, takie jak zaświadczenie na poziomie hiperwizora i Secure Launch, znane także jako Dynamic Root of Trust (DRTM) i włączone domyślnie na urządzeniach klasy Secured-core PCs. Nowy silnik skanowania UEFI w Microsoft Defender ATP rozszerza te zabezpieczenia, czyniąc skanowanie firmware'u szerzej dostępnym.
Skaner UEFI jest nowym składnikiem wbudowanym w rozwiązanie antywirusowe Windows 10. Daje on możliwość skanowania wewnątrz systemu plików firmware'u i wykonuje ocenę bezpieczeństwa. Skaner integruje wglądy od partnerów — producentów chipsetów. Jego działanie polega na odczytywaniu systemu plików poprzez interakcję z chipsetem płyty głównej. Aby wykryć zagrożenia, wykonuje dynamiczne analizy z użyciem wielu nowych rozwiązań, takich jak:
- UEFI anti-rootkit, docierający do firmware'u poprzez Serial Peripheral Interface (SPI).
- Pełny skaner systemu plików, który analizuje zawartość wewnątrz firmware'u.
- Silnik wykrywania, który identyfikuje exploity i złośliwe zachowania.
Skanowanie firmware'u odbywa się zarówno za sprawą zdarzeń, takich jak podejrzane ładowanie sterownika, jak też poprzez okresowe skanowania systemu. Wykrycia są zgłaszane w aplikacji Zabezpieczenia Windows, w sekcji Historia ochrony.
Ponadto klienci Microsoft Defender ATP zobaczą wykryte zagrożenia w formie alertów w Microsoft Defender Security Center. Ułatwia to zespołom operacji bezpieczeństwa śledzenie i odpowiadanie na ataki na firmware oraz podejrzane aktywności na poziomie firmware'u w ich środowiskach.
341f31d.png)