Złośliwe oprogramowanie Windows 10 UEFI wykryte przez Microsoft Defender ATP

Microsoft ogłosił, że Microsoft Defender Advanced Threat Protection jest teraz w stanie wykrywać i chronić klientów przed zunifikowanymi interfejsami oprogramowania wewnętrznego za pomocą skanera UEFI. Ta wbudowana ochrona przed atakami oprogramowania układowego, w tym komputerami z systemem Windows 10 Secured-core, od października 2019 r. I chroni urządzenie użytkownika przed atakującymi, którzy niewłaściwie wykorzystują wady bezpieczeństwa wpływające zarówno na oprogramowanie układowe, jak i sterowniki.

Według Microsoftu „Windows Defender System Guard pomaga bronić się przed atakami oprogramowania układowego, zapewniając gwarancje bezpiecznego rozruchu poprzez funkcje bezpieczeństwa wspierane sprzętowo, takie jak poświadczenie na poziomie hiperwizora i Secure Launch, znane również jako Dynamic Root of Trust (DRTM), które są włączane przez domyślnie w komputerach z zabezpieczonym rdzeniem ”

Jednym z aktorów zagrożeń znanych z niewłaściwego wykorzystywania luk w oprogramowaniu układowym jest wspierana przez Rosję grupa zagrożeń APT28, która korzystała z rootkita UEFI znanego jako LoJax w ramach niektórych swoich operacji w 2018 roku. Nowy skaner UEFI jest składnikiem wbudowanego rozwiązania antywirusowego systemu Windows 10, który może przeprowadzać oceny bezpieczeństwa po skanowaniu w systemie plików oprogramowania układowego.

Microsoft Defender ATP działa poprzez odczytywanie „systemu plików oprogramowania układowego w czasie wykonywania poprzez interakcję z mikroukładem płyty głównej” i uruchamia się automatycznie poprzez okresowe skanowanie, takie jak podejrzane ładowanie sterowników.

Aby wykryć szkodliwe kody, skanery UEFI używają wielu kodów, w tym anty-rootkit UEFI, który skanuje oprogramowanie układowe za pomocą interfejsu Serial Peripheral Interface flash, pełnego skanera systemu plików do analizy treści zawartych w oprogramowaniu wewnętrznym.

Microsoft doszedł do wniosku, że „Dzięki skanerowi UEFI program Microsoft Defender ATP zapewnia jeszcze lepszy wgląd w zagrożenia na poziomie oprogramowania układowego, na którym atakujący coraz bardziej koncentrują swoje wysiłki”

Aby zbadać i powstrzymać niektóre zaawansowane ataki, zespoły operacji bezpieczeństwa mogą wykorzystać ten nowy poziom widoczności wraz z bogatym zestawem funkcji wykrywania i reagowania w programie Microsoft Defender ATP.

Ponadto ten poziom widoczności jest również dostępny w Microsoft Threat Protection (MTP), która zapewnia jeszcze szerszą ochronę między domenami, która koordynuje ochronę między punktami końcowymi, tożsamościami, pocztą e-mail i aplikacjami.