SecurityOpenLab

Microsoft Defender ATP ora rileva i malware UEFI

Microsoft sta espandendo le funzionalità di protezione firmware di Microsoft Defender Advanced Threat Protection con un nuovo scanner UEFI (Unified Extensible Firmware Interface). Grazie a questa novità la piattaforma di sicurezza aziendale per gli endpoint è ora in grado di rilevare e proteggere i clienti dai malware UEFI.

Da notare che la protezione integrata contro gli attacchi firmware è già inclusa da ottobre 2019 nei Secured-core PC con Windows 10, appunto per bloccare gli attacchi che sfruttano le falle di sicurezza nei driver e nel firmware. La decisione di Microsoft amplia quindi la suddetta copertura a tutti gli endpoint aziendali e risponde all'esigenza crescente di fronteggiare la continua crescita di attacchi a livello di hardware e firmware.

In questo tipo di attacchi, i cyber criminali agiscono per compromettere la procedura di avvio del sistema e instillare malware di basso livello che sono particolarmente ostici da rilevare. Con la novità annunciata, Windows Defender System Guard garantisce un avvio sicuro tramite funzionalità di sicurezza supportate dall'hardware.
microsoft defender atp
Beneficiano dell'attestazione a livello di hypervisor e Secure Launch, noto anche come Dynamic Root of Trust (DRTM), abilitato per impostazione predefinita nei Secured Core PC. Il nuovo motore di analisi UEFI in Microsoft Defender ATP espande queste protezioni rendendo ampiamente disponibile la scansione del firmware.

A fare la differenza è appunto lo scanner UEFI integrato in Microsoft Defender ATP. Consente di eseguire una scansione antimalware all'interno del file system del firmware. Interagisce direttamente con il chipset della scheda madre ed esegue un'analisi dinamica utilizzando tre nuovi componenti. UEFI anti-rootkit raggiunge il firmware tramite la Serial Peripheral Interface (SPI). Uno scanner completo del file system analizza il contenuto all'interno del firmware. Un motore di rilevamento identifica exploit e comportamenti dannosi.

L'analisi del firmware è orchestrata da eventi di runtime, come il caricamento sospetto di driver, e attraverso scansioni periodiche del sistema. I rilevamenti vengono segnalati nella sicurezza di Windows, in Protection History. I clienti vedranno inoltre questi rilevamenti sottoforma di avvisi in Microsoft Defender Security Center, così che il team di sicurezza possa analizzarli e rispondere agli attacchi.
2microsoft defender atpIn questa configurazione, l'interfaccia UEFI sostituisce il BIOS legacy. Se il chipset è configurato correttamente e l'avvio sicuro è abilitato, il firmware si potrà ragionevolmente considerare sicuro. Questo perché, per poter distribuire un rootkit, gli aggressori necessitano di un firmware vulnerabile o di un computer non configurato correttamente. Qualora questi due elementi fossero inattaccabili, il percorso di avvio che intercorre fra l'accensione e l'inizializzazione del sistema operativo è da considerarsi affidabile.

Le funzioni di sicurezza supportate dall'hardware, come l'attestazione dei dispositivi, consentono di bloccare gli attacchi firmware. Infine, non è da dimenticare Microsoft Threat Protection (MTP), che offre una difesa ancora più ampia, coordinando la protezione tra endpoint, identità, posta elettronica e app.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Redazione SecurityOpenLab - 22/06/2020

Tag: microsoft firmware attack windows uefi


Top trend

CoronaVirus
Ransomware
Phishing
Malware
Botnet
Vulnerabilità
Data Breach
IoT
Cyberwarfare



End of content

No more pages to load

Iscriviti alla nostra newsletter

Mantieniti aggiornato sul mondo della sicurezza

iscriviti

Redazione | Pubblicità | Contattaci | Copyright

SecurityOpenLab

SecurityOpenLab e' un canale di BitCity,
testata giornalistica registrata presso il tribunale di Como,
n. 21/2007 del 11/10/2007 - Iscrizione ROC n. 15698

G11 MEDIA S.R.L.
Sede Legale Via Nuova Valassina, 4 22046 Merone (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 Capitale Sociale Euro 30.000 i.v.

Cookie | Privacy

statistiche contatore