Malware UEFI do Windows 10 detectado pelo Microsoft Defender ATP

A Microsoft anunciou que a empresa de Proteção Avançada contra Ameaças do Microsoft Defender agora é capaz de detectar e proteger os clientes das Interfaces de Firmware Extensíveis Unificadas com a ajuda do scanner UEFI. Isso protege contra ataques de firmware, incluindo PCs com Windows 10 Secured-core desde outubro de 2019 e protege o dispositivo do usuário contra invasores que usam indevidamente falhas de segurança que afetam o firmware e os drivers.

De acordo com a Microsoft, “o Windows Defender System Guard ajuda a se defender contra ataques de firmware, fornecendo garantias de inicialização segura por meio de recursos de segurança suportados por hardware, como atestado em nível de hipervisor e Secure Launch, também conhecido como Dynamic Root of Trust (DRTM), que são ativados por padrão em PCs com núcleo protegido “,

Um agente de ameaças conhecido por usar vulnerabilidades de firmware incorretas é o grupo de ameaças APT28, apoiado pela Rússia, que usou o UEFI rootkit conhecido como LoJax como parte de algumas de suas operações em 2018. O novo scanner UEFI é um componente da solução antivírus integrada do Windows 10 que é capaz de realizar avaliações de segurança após a verificação dentro do sistema de arquivos do firmware.

Os ATPs do Microsoft Defender funcionam lendo “o sistema de arquivos do firmware em tempo de execução, interagindo com o chipset da placa-mãe” e são iniciados automaticamente através de verificações periódicas, como cargas suspeitas de drivers.

Para detectar códigos maliciosos, os scanners UEFI usam vários códigos, incluindo o anti-rootkit UEFI, que verifica o firmware através do flash da Interface Periférica Serial, um scanner completo do sistema de arquivos para analisar o conteúdo presente no firmware.

A Microsoft concluiu que, “com seu scanner UEFI, o Microsoft Defender ATP obtém uma visibilidade ainda mais rica das ameaças no nível do firmware, onde os atacantes têm focado cada vez mais seus esforços”.

Para investigar e conter alguns ataques avançados, as equipes de operações de segurança podem usar esse novo nível de visibilidade, juntamente com o rico conjunto de recursos de detecção e resposta no Microsoft Defender ATP.

Além disso, esse nível de visibilidade também está disponível no Microsoft Threat Protection (MTP), que oferece uma defesa entre domínios ainda mais ampla que coordena a proteção entre terminais, identidades, email e aplicativos.