Logiciel malveillant UEFI Windows 10 détecté par Microsoft Defender ATP

Microsoft a annoncé que l’entreprise Microsoft Defender Advanced Threat Protection est désormais capable de détecter et de protéger les clients contre les interfaces de micrologiciel extensibles unifiées à l’aide du scanner UEFI. Cette protection intégrée contre les attaques de micrologiciel, y compris les PC à noyau sécurisé Windows 10 depuis octobre 2019, et protège l’appareil de l’utilisateur contre les attaquants qui abusent des failles de sécurité affectant à la fois le micrologiciel et les pilotes.

Selon Microsoft, «Windows Defender System Guard aide à se défendre contre les attaques de micrologiciel en fournissant des garanties de démarrage sécurisé via des fonctionnalités de sécurité soutenues par le matériel comme l’attestation au niveau de l’hyperviseur et le lancement sécurisé, également connu sous le nom de Dynamic Root of Trust (DRTM), qui sont activées par par défaut dans les PC à cœur sécurisé, “

Un acteur de la menace connu pour avoir utilisé à mauvais escient les vulnérabilités du micrologiciel est le groupe de menaces APT28 soutenu par la Russie qui a utilisé le rootkit UEFI connu sous le nom de LoJax dans le cadre de certaines de ses opérations en 2018. Le nouveau scanner UEFI est un composant de la solution antivirus intégrée de Windows 10 qui est capable d’effectuer des évaluations de sécurité après une analyse à l’intérieur du système de fichiers du micrologiciel.

Microsoft Defender ATP fonctionne en lisant «le système de fichiers du micrologiciel au moment de l’exécution en interagissant avec le chipset de la carte mère» et il démarre automatiquement à travers des analyses périodiques telles que des charges de pilotes suspectes.

Pour repérer les codes malveillants, les scanners UEFI utilisent plusieurs codes, y compris l’anti-rootkit UEFI qui scanne le firmware via le flash de l’interface périphérique série, un scanner de système de fichiers complet pour analyser le contenu présent à l’intérieur du firmware.

Microsoft a conclu que «grâce à son scanner UEFI, Microsoft Defender ATP obtient une visibilité encore plus riche des menaces au niveau du micrologiciel, où les attaquants concentrent de plus en plus leurs efforts».

Pour enquêter et contenir certaines attaques avancées, les équipes des opérations de sécurité peuvent utiliser ce nouveau niveau de visibilité, ainsi que le riche ensemble de capacités de détection et de réponse dans Microsoft Defender ATP.

De plus, ce niveau de visibilité est également disponible dans Microsoft Threat Protection (MTP), qui offre une défense inter-domaines encore plus large qui coordonne la protection entre les points de terminaison, les identités, les e-mails et les applications.