Malware UEFI Windows 10 rilevato da Microsoft Defender ATP

Microsoft ha annunciato che l’impresa Microsoft Defender Advanced Threat Protection è ora in grado di rilevare e proteggere i clienti dalle interfacce firmware unificate estendibili con l’aiuto dello scanner UEFI. Questa protezione integrata dagli attacchi del firmware, inclusi i PC con Windows 10 Secured da ottobre 2019, e protegge il dispositivo dell’utente dagli aggressori che abusano di difetti di sicurezza che interessano sia il firmware che i driver.

Secondo Microsoft, “Windows Defender System Guard aiuta a difendersi dagli attacchi del firmware fornendo garanzie per l’avvio sicuro attraverso funzionalità di sicurezza supportate dall’hardware come l’attestazione a livello di hypervisor e Secure Launch, noto anche come Dynamic Root of Trust (DRTM), che sono abilitati da impostazione predefinita nei PC con core protetto, “

Un attore di minaccia noto per l’uso improprio delle vulnerabilità del firmware è il gruppo di minacce APT28 sostenuto dalla Russia che ha utilizzato il rootkit UEFI noto come LoJax come parte di alcune delle sue operazioni del 2018. Il nuovo scanner UEFI è un componente della soluzione antivirus integrata di Windows 10 in grado di eseguire valutazioni di sicurezza dopo la scansione all’interno del filesystem del firmware.

Gli ATP di Microsoft Defender funzionano leggendo “il file system del firmware in fase di runtime interagendo con il chipset della scheda madre” e si avvia automaticamente attraverso scansioni periodiche come carichi sospetti del driver.

Per individuare codici dannosi, gli scanner UEFI utilizzano più codici tra cui l’anti-rootkit UEFI che esegue la scansione del firmware attraverso il flash dell’interfaccia periferica seriale, uno scanner completo di file system per l’analisi del contenuto presente all’interno del firmware.

Microsoft ha concluso che “Con il suo scanner UEFI, Microsoft Defender ATP ottiene una visibilità ancora maggiore sulle minacce a livello di firmware, su cui gli aggressori hanno sempre più concentrato i loro sforzi”,

Per indagare e contenere alcuni attacchi avanzati, i team delle operazioni di sicurezza possono utilizzare questo nuovo livello di visibilità, insieme al ricco set di funzionalità di rilevamento e risposta in Microsoft Defender ATP.

Inoltre, questo livello di visibilità è disponibile anche in Microsoft Threat Protection (MTP), che offre una difesa interdominio ancora più ampia che coordina la protezione su endpoint, identità, e-mail e app.