A proteção Defender ATP da Microsoft adiciona um novo recurso de scanner de firmware UEFI

UEFI, no seu BIOS é um pequeno sistema operacional por si só, mas é meio desprotegido. A Proteção Avançada contra Ameaças do Microsoft Defender (Microsoft Defender ATP) está estendendo seus recursos de proteção ao nível do firmware com um novo scanner UEFI (Unified Extensible Firmware Interface).

A UEFI (Unified Extensible Firmware Interface) substitui o BIOS herdado. Se o chipset estiver configurado corretamente (UEFI e a própria configuração do chipset) e a inicialização segura estiver ativada, o firmware estará razoavelmente seguro. Para executar um ataque baseado em hardware, os atacantes exploram um firmware vulnerável ou uma máquina mal configurada para implantar um rootkit, que permite que os invasores se posicionem na máquina.

Em circunstâncias normais, desde que os tipos comuns de vírus sejam encontrados a tempo, é relativamente fácil eliminar, mas alguns vírus são relativamente mais poderosos em termos técnicos. Por exemplo, um vírus avançado que visa especificamente o firmware do sistema não é tão fácil de eliminar. O principal motivo é que o vírus está escondido e escondido dentro do “firmware do sistema”.

O mais típico desses vírus é o vírus avançado infectado pelo firmware UEFI, e agora a Microsoft começou a direcionar e eliminar esses vírus avançados. A Microsoft atualizou recentemente a proteção Microsoft Defender ATP. Esta atualização traz várias medidas de segurança diferentes para proteger o sistema contra esses ataques.

Isso inclui a detecção de vírus teimosa e a morte do firmware UEFI. Novos componentes adicionados pela Microsoft podem ser verificados diretamente através da interface serial do dispositivo periférico ao firmware do sistema. A Microsoft disse que o novo scanner de firmware UEFI integra a rica tecnologia de segurança da Microsoft, que pode fornecer uma gama completa de segurança, do chip à nuvem.

Para organizações empresariais que implantaram o Microsoft Defender ATP, o administrador também receberá um lembrete quando receberem infecções de vírus semelhantes e conduzirem a morte. A equipe de segurança corporativa pode coletar e rastrear o processo de infecção por vírus com base nessas atividades de alarme para garantir que os computadores e redes internas da empresa não sejam ameaçados pela segurança.

A Microsoft disse que, se o próprio dispositivo de hardware suportar recursos de segurança, como inicialização segura ou certificação de dispositivo, o Microsoft Defender ATP também poderá ser perfeitamente integrado. Com a ajuda do scanner UEFI no Microsoft Defender ATP, agora você pode entender profundamente as ameaças no nível do firmware e a equipe de segurança pode usá-lo para detectar essas ameaças.

Os ataques no nível de hardware e firmware continuaram a aumentar nos últimos anos, pois as soluções de segurança modernas dificultavam a evasão de persistência e detecção no sistema operacional. Os invasores comprometem o fluxo de inicialização para obter um comportamento de malware de baixo nível que é difícil de detectar, representando um risco significativo para a postura de segurança de uma organização.

O Windows Defender System Guard ajuda a se defender contra ataques de firmware, fornecendo garantias de inicialização segura por meio de recursos de segurança suportados por hardware, como atestado em nível de hipervisor e Inicialização segura, também conhecida como DRTM (Dynamic Root of Trust), que são ativados por padrão no núcleo seguro PCs. O novo mecanismo de verificação UEFI no Microsoft Defender ATP expande essas proteções, disponibilizando amplamente a verificação de firmware.

O scanner UEFI é um novo componente da solução antivírus integrada no Windows 10 e oferece ao Microsoft Defender ATP a capacidade exclusiva de verificar o interior do sistema de arquivos do firmware e executar a avaliação de segurança. Ele integra informações de fabricantes de chipsets parceiros e expande ainda mais a proteção abrangente de terminais fornecida pelo Microsoft Defender ATP.

O flash da Interface Periférica Serial (SPI) armazena informações importantes. Sua estrutura depende do design dos OEMs e geralmente inclui atualização de microcódigo do processador, Intel Management Engine (ME) e imagem de inicialização, um executável UEFI. Quando um computador é executado, os processadores executam o código de firmware do SPI flash por um tempo durante a fase SEC da UEFI. Em vez de memória, o flash é mapeado permanentemente para o vetor de redefinição x86 (endereço físico 0xFFFF_FFF0). No entanto, os invasores podem interferir no acesso à memória para redefinir o vetor por software. Eles fazem isso reprogramando o registro de controle do BIOS em dispositivos mal configurados, dificultando ainda mais o software de segurança determinar exatamente o que é executado durante a inicialização.

Depois que um implante é implantado, é difícil detectá-lo. Para capturar ameaças nesse nível, as soluções de segurança no nível do sistema operacional dependem das informações do firmware, mas a cadeia de confiança está enfraquecida.


Notificação de segurança do Windows mostrando a detecção de conteúdo malicioso na memória não volátil (NVRAM)

Fluxo de inicialização esperado vs. fluxo de inicialização comprometido

Artigos Relacionados

Back to top button