Von Microsoft Defender ATP erkannte Windows 10 UEFI-Malware

Microsoft hat angekündigt, dass Microsoft Defender Advanced Threat Protection Enterprise nun in der Lage ist, Kunden mithilfe des UEFI-Scanners vor Unified Extensible Firmware Interfaces zu erkennen und zu schützen. Dieser integrierte Schutz vor Firmware-Angriffen, einschließlich Windows 10 Secured-Core-PCs seit Oktober 2019, schützt das Gerät des Benutzers vor Angreifern, die Sicherheitslücken missbrauchen, die sowohl die Firmware als auch die Treiber betreffen.

Laut Microsoft „hilft Windows Defender System Guard beim Schutz vor Firmware-Angriffen, indem Garantien für einen sicheren Start durch hardwaregestützte Sicherheitsfunktionen wie die Bestätigung auf Hypervisor-Ebene und den sicheren Start, auch bekannt als Dynamic Root of Trust (DRTM), bereitgestellt werden, die von aktiviert werden Standard bei Secured-Core-PCs „

Ein Bedrohungsakteur, der für den Missbrauch von Firmware-Schwachstellen bekannt ist, ist die von Russland unterstützte Bedrohungsgruppe APT28, die das UEFI-Rootkit LoJax als Teil einiger ihrer Operationen im Jahr 2018 verwendet hat. Der neue UEFI-Scanner ist eine Komponente der in Windows 10 integrierten Antivirenlösung, mit der nach dem Scannen im Firmware-Dateisystem Sicherheitsbewertungen durchgeführt werden können.

Microsoft Defender ATPs lesen „das Firmware-Dateisystem zur Laufzeit durch Interaktion mit dem Motherboard-Chipsatz“ und werden automatisch durch regelmäßige Scans wie verdächtige Treiberladevorgänge gestartet.

Um schädliche Codes zu erkennen, verwenden UEFI-Scanner mehrere Codes, einschließlich UEFI-Anti-Rootkit, das die Firmware über den Flash der seriellen Peripherieschnittstelle scannt, einen vollständigen Dateisystem-Scanner zur Analyse der in der Firmware vorhandenen Inhalte.

Microsoft kam zu dem Schluss: „Mit seinem UEFI-Scanner erhält Microsoft Defender ATP einen noch besseren Einblick in Bedrohungen auf Firmware-Ebene, auf die sich Angreifer zunehmend konzentriert haben.“

Um einige erweiterte Angriffe zu untersuchen und einzudämmen, können Sicherheitsbetriebsteams diese neue Sichtbarkeitsstufe zusammen mit den umfangreichen Erkennungs- und Reaktionsfunktionen in Microsoft Defender ATP verwenden.

Darüber hinaus ist diese Sichtbarkeitsstufe auch in Microsoft Threat Protection (MTP) verfügbar, das eine noch umfassendere domänenübergreifende Verteidigung bietet, die den Schutz über Endpunkte, Identitäten, E-Mails und Apps hinweg koordiniert.