Malware UEFI de Windows 10 detectado por Microsoft Defender ATP

Microsoft ha anunciado que la empresa Microsoft Defender Advanced Threat Protection ahora es capaz de detectar y proteger a los clientes de las interfaces de firmware extensibles unificadas con la ayuda del escáner UEFI. Esta protección integrada contra ataques de firmware, incluidas las PC con núcleo seguro de Windows 10 desde octubre de 2019, y protege el dispositivo del usuario de los atacantes que hacen un mal uso de fallas de seguridad que afectan tanto el firmware como los controladores.

Según Microsoft, “Windows Defender System Guard ayuda a defenderse contra los ataques de firmware al proporcionar garantías para el arranque seguro a través de características de seguridad respaldadas por hardware como la certificación de nivel de hipervisor y el Lanzamiento seguro, también conocido como Dynamic Root of Trust (DRTM), que están habilitados por predeterminado en PC con núcleo seguro “

Un actor de amenazas conocido por hacer un mal uso de las vulnerabilidades de firmware es el grupo de amenazas APT28 respaldado por Rusia que utilizó el rootkit UEFI conocido como LoJax como parte de algunas de sus operaciones de 2018. El nuevo escáner UEFI es un componente de la solución antivirus integrada de Windows 10 que puede realizar evaluaciones de seguridad después de escanear dentro del sistema de archivos de firmware.

Los ATP de Microsoft Defender funcionan leyendo “el sistema de archivos de firmware en tiempo de ejecución al interactuar con el chipset de la placa base” y se inicia automáticamente a través de análisis periódicos, como cargas sospechosas de controladores.

Para detectar códigos maliciosos, los escáneres UEFI usan múltiples códigos, incluido el anti-rootkit UEFI que escanea el firmware a través de la interfaz Serial Peripheral Flash, un escáner de sistema de archivos completo para analizar el contenido presente dentro del firmware.

Microsoft concluyó que, “con su escáner UEFI, Microsoft Defender ATP obtiene una visibilidad aún más rica de las amenazas a nivel de firmware, donde los atacantes han centrado cada vez más sus esfuerzos”.

Para investigar y contener algunos ataques avanzados, los equipos de operaciones de seguridad pueden utilizar este nuevo nivel de visibilidad, junto con el amplio conjunto de capacidades de detección y respuesta en Microsoft Defender ATP.

Además, este nivel de visibilidad también está disponible en Microsoft Threat Protection (MTP), que ofrece una defensa entre dominios aún más amplia que coordina la protección a través de puntos finales, identidades, correo electrónico y aplicaciones.