A proteção Defender ATP da Microsoft adiciona um novo recurso de scanner de firmware UEFI

A proteção Defender ATP da Microsoft adiciona um novo recurso de scanner de firmware UEFI

UEFI, no seu BIOS é um pequeno sistema operacional por si só, mas é meio desprotegido. A Proteção Avançada contra Ameaças do Microsoft Defender (Microsoft Defender ATP) está estendendo seus recursos de proteção ao nível do firmware com um novo scanner UEFI (Unified Extensible Firmware Interface).

A UEFI (Unified Extensible Firmware Interface) substitui o BIOS herdado. Se o chipset estiver configurado corretamente (UEFI e a própria configuração do chipset) e a inicialização segura estiver ativada, o firmware estará razoavelmente seguro. Para executar um ataque baseado em hardware, os atacantes exploram um firmware vulnerável ou uma máquina mal configurada para implantar um rootkit, que permite que os invasores se posicionem na máquina.

Em circunst√Ęncias normais, desde que os tipos comuns de v√≠rus sejam encontrados a tempo, √© relativamente f√°cil eliminar, mas alguns v√≠rus s√£o relativamente mais poderosos em termos t√©cnicos. Por exemplo, um v√≠rus avan√ßado que visa especificamente o firmware do sistema n√£o √© t√£o f√°cil de eliminar. O principal motivo √© que o v√≠rus est√° escondido e escondido dentro do ‚Äúfirmware do sistema‚ÄĚ.

O mais típico desses vírus é o vírus avançado infectado pelo firmware UEFI, e agora a Microsoft começou a direcionar e eliminar esses vírus avançados. A Microsoft atualizou recentemente a proteção Microsoft Defender ATP. Esta atualização traz várias medidas de segurança diferentes para proteger o sistema contra esses ataques.

Isso inclui a detecção de vírus teimosa e a morte do firmware UEFI. Novos componentes adicionados pela Microsoft podem ser verificados diretamente através da interface serial do dispositivo periférico ao firmware do sistema. A Microsoft disse que o novo scanner de firmware UEFI integra a rica tecnologia de segurança da Microsoft, que pode fornecer uma gama completa de segurança, do chip à nuvem.

Para organiza√ß√Ķes empresariais que implantaram o Microsoft Defender ATP, o administrador tamb√©m receber√° um lembrete quando receberem infec√ß√Ķes de v√≠rus semelhantes e conduzirem a morte. A equipe de seguran√ßa corporativa pode coletar e rastrear o processo de infec√ß√£o por v√≠rus com base nessas atividades de alarme para garantir que os computadores e redes internas da empresa n√£o sejam amea√ßados pela seguran√ßa.

A Microsoft disse que, se o próprio dispositivo de hardware suportar recursos de segurança, como inicialização segura ou certificação de dispositivo, o Microsoft Defender ATP também poderá ser perfeitamente integrado. Com a ajuda do scanner UEFI no Microsoft Defender ATP, agora você pode entender profundamente as ameaças no nível do firmware e a equipe de segurança pode usá-lo para detectar essas ameaças.

Os ataques no n√≠vel de hardware e firmware continuaram a aumentar nos √ļltimos anos, pois as solu√ß√Ķes de seguran√ßa modernas dificultavam a evas√£o de persist√™ncia e detec√ß√£o no sistema operacional. Os invasores comprometem o fluxo de inicializa√ß√£o para obter um comportamento de malware de baixo n√≠vel que √© dif√≠cil de detectar, representando um risco significativo para a postura de seguran√ßa de uma organiza√ß√£o.

O Windows Defender System Guard ajuda a se defender contra ataques de firmware, fornecendo garantias de inicializa√ß√£o segura por meio de recursos de seguran√ßa suportados por hardware, como atestado em n√≠vel de hipervisor e Inicializa√ß√£o segura, tamb√©m conhecida como DRTM (Dynamic Root of Trust), que s√£o ativados por padr√£o no n√ļcleo seguro PCs. O novo mecanismo de verifica√ß√£o UEFI no Microsoft Defender ATP expande essas prote√ß√Ķes, disponibilizando amplamente a verifica√ß√£o de firmware.

O scanner UEFI √© um novo componente da solu√ß√£o antiv√≠rus integrada no Windows 10 e oferece ao Microsoft Defender ATP a capacidade exclusiva de verificar o interior do sistema de arquivos do firmware e executar a avalia√ß√£o de seguran√ßa. Ele integra informa√ß√Ķes de fabricantes de chipsets parceiros e expande ainda mais a prote√ß√£o abrangente de terminais fornecida pelo Microsoft Defender ATP.

O flash da Interface Perif√©rica Serial (SPI) armazena informa√ß√Ķes importantes. Sua estrutura depende do design dos OEMs e geralmente inclui atualiza√ß√£o de microc√≥digo do processador, Intel Management Engine (ME) e imagem de inicializa√ß√£o, um execut√°vel UEFI. Quando um computador √© executado, os processadores executam o c√≥digo de firmware do SPI flash por um tempo durante a fase SEC da UEFI. Em vez de mem√≥ria, o flash √© mapeado permanentemente para o vetor de redefini√ß√£o x86 (endere√ßo f√≠sico 0xFFFF_FFF0). No entanto, os invasores podem interferir no acesso √† mem√≥ria para redefinir o vetor por software. Eles fazem isso reprogramando o registro de controle do BIOS em dispositivos mal configurados, dificultando ainda mais o software de seguran√ßa determinar exatamente o que √© executado durante a inicializa√ß√£o.

Depois que um implante √© implantado, √© dif√≠cil detect√°-lo. Para capturar amea√ßas nesse n√≠vel, as solu√ß√Ķes de seguran√ßa no n√≠vel do sistema operacional dependem das informa√ß√Ķes do firmware, mas a cadeia de confian√ßa est√° enfraquecida.


Notifica√ß√£o de seguran√ßa do Windows mostrando a detec√ß√£o de conte√ļdo malicioso na mem√≥ria n√£o vol√°til (NVRAM)

Fluxo de inicialização esperado vs. fluxo de inicialização comprometido

0 Shares