Windows Defender teraz ze skanerem UEFI. Ochrona przed atakami na firmware

Windows Defender teraz ze skanerem UEFI. Ochrona przed atakami na firmware

 Krzysztof Sulikowski
Krzysztof Sulikowski
14:03
18.06.2020
957 wyświetleń

Microsoft Defender Advanced Threat Protection (Microsoft Defender ATP) zyskuje nową funkcję bezpieczeństwa w postaci skanera UEFI (Unified Extensible Firmware Interface) działającego na poziomie oprogramowania układowego. Ataki na poziomie sprzętowym i firmware'u w ostatnich latach przybrały na sile, ponieważ nowoczesne pakiety chroniące wzmocniły znacząco ochronę w warstwie oprogramowania. Atakujący wykorzystują przepływ bootowania, by osiągnąć niskopoziomowe, złośliwe zachowanie, które jest trudne do wykrycia i mocno ryzykowne dla organizacji.

Windows Defender System Guard pomaga w ochronie przed atakami na firmware, zapewniając gwarancję secure boot poprzez oparte na sprzęcie funkcje, takie jak zaświadczenie na poziomie hiperwizora i Secure Launch, znane także jako Dynamic Root of Trust (DRTM) i włączone domyślnie na urządzeniach klasy Secured-core PCs. Nowy silnik skanowania UEFI w Microsoft Defender ATP rozszerza te zabezpieczenia, czyniąc skanowanie firmware'u szerzej dostępnym.

Windows Defender

Skaner UEFI jest nowym składnikiem wbudowanym w rozwiązanie antywirusowe Windows 10. Daje on możliwość skanowania wewnątrz systemu plików firmware'u i wykonuje ocenę bezpieczeństwa. Skaner integruje wglądy od partnerów — producentów chipsetów. Jego działanie polega na odczytywaniu systemu plików poprzez interakcję z chipsetem płyty głównej. Aby wykryć zagrożenia, wykonuje dynamiczne analizy z użyciem wielu nowych rozwiązań, takich jak:

  • UEFI anti-rootkit, docierający do firmware'u poprzez Serial Peripheral Interface (SPI).
  • Pełny skaner systemu plików, który analizuje zawartość wewnątrz firmware'u.
  • Silnik wykrywania, który identyfikuje exploity i złośliwe zachowania.

Skanowanie firmware'u odbywa się zarówno za sprawą zdarzeń, takich jak podejrzane ładowanie sterownika, jak też poprzez okresowe skanowania systemu. Wykrycia są zgłaszane w aplikacji Zabezpieczenia Windows, w sekcji Historia ochrony.

Windows Defender

Ponadto klienci Microsoft Defender ATP zobaczą wykryte zagrożenia w formie alertów w Microsoft Defender Security Center. Ułatwia to zespołom operacji bezpieczeństwa śledzenie i odpowiadanie na ataki na firmware oraz podejrzane aktywności na poziomie firmware'u w ich środowiskach.


Spodobał Ci się ten artykuł? Podziel się z innymi!

Źródło: https://www.microsoft.com/security/blog/2020/06/17/uefi-scanner-brings-microsoft-defender-atp-protection-to-a-new-level/

Polecamy również w kategorii Bezpieczeństwo