Microsoft Defender ATPによって検出されたWindows 10 UEFIマルウェア

マイクロソフトは、Microsoft Defender Advanced Threat ProtectionエンタープライズがUEFIスキャナーの助けを借りて統合拡張ファームウェアインターフェイスから顧客を検出および保護できるようになったことを発表しました。これは、2019年10月以降、Windows 10セキュアコアPCを含むファームウェア攻撃から保護され、ファームウェアとドライバーの両方に影響するセキュリティ欠陥を悪用する攻撃者からユーザーのデバイスを保護します。

Microsoftによると、「Windows Defender System Guardは、ハイパーバイザーレベルのアテステーションやセキュアローンチ(Dynamic Root of Trust(DRTM)とも呼ばれます)などのハードウェアベースのセキュリティ機能を通じてセキュアブートを保証することで、ファームウェア攻撃からの防御を支援します。セキュアコアPCのデフォルト」

ファームウェアの脆弱性の悪用で知られている1つの脅威アクターは、2018年の運用の一部としてLoJaxとして知られているUEFIルートキットを使用した、ロシアが支援するAPT28脅威グループです。新しいUEFIスキャナーは、Windows 10に組み込まれているウイルス対策ソリューションのコンポーネントであり、ファームウェアファイルシステム内をスキャンした後にセキュリティ評価を実行できます。

Microsoft Defender ATPは、「マザーボードチップセットとの対話により実行時にファームウェアファイルシステム」を読み取ることで機能し、疑わしいドライバーのロードなどの定期的なスキャンによって自動的に起動します。

悪意のあるコードを見つけるために、UEFIスキャナーは、シリアルペリフェラルインターフェイスフラッシュを通じてファームウェアをスキャンするUEFIアンチルートキット、ファームウェア内に存在するコンテンツを分析するための完全なファイルシステムスキャナーなど、複数のコードを使用します。

Microsoftは、「UEFIスキャナーを使用すると、攻撃者がますます攻撃に集中しているファームウェアレベルで脅威に対するMicrosoft Defender ATPの可視性がさらに向上する」と結論付けました。

いくつかの高度な攻撃を調査して封じ込めるために、セキュリティ運用チームはこの新しいレベルの可視性と、Microsoft Defender ATPの豊富な検出および応答機能のセットを使用できます。

さらに、このレベルの可視性はMicrosoft Threat Protection(MTP)でも利用できます。これにより、エンドポイント、ID、電子メール、およびアプリ全体の保護を調整する、より広範なクロスドメイン防御が実現します。