Microsoft annuncia innovazioni hardware che garantiscono protezione ulteriore ai prossimi PC con a bordo Windows 10.
I recenti sviluppi nella ricerca sulla sicurezza e gli attacchi nel mondo reale dimostrano che mentre più protezioni sono integrate in modo proattivo nel sistema operativo e nei servizi connessi, gli aggressori sono alla ricerca di altre vie di sfruttamento con il firmware che emerge come obiettivo principale. Solo negli ultimi tre anni, il National Vulnerability Database del NIST ha mostrato un aumento di quasi cinque volte il numero di vulnerabilità del firmware rilevate.
Per combattere le minacce specificamente mirate a livello di firmware e sistema operativo, stiamo annunciando una nuova iniziativa su cui abbiamo lavorato con i partner per progettare quelli che chiamiamo PC con core sicuro. Questi dispositivi, creati in collaborazione con i nostri partner di produzione di PC e silicio, soddisfano una serie specifica di requisiti dei dispositivi che applicano le migliori pratiche di sicurezza di isolamento e affidabilità minima al livello del firmware o al nucleo del dispositivo su cui si basa il sistema operativo Windows. Questi dispositivi sono progettati specificamente per settori come i servizi finanziari, il governo e l'assistenza sanitaria e per i lavoratori che gestiscono dati IP, clienti o dati personali altamente sensibili, comprese le informazioni personali in quanto sono obiettivi di valore più elevato per gli aggressori dello stato-nazione.
Alla fine del 2018, i ricercatori della sicurezza hanno scoperto che il gruppo di hacking, Strontium ha utilizzato vulnerabilità del firmware per colpire i sistemi in natura con malware distribuito attraverso un attacco del firmware. Di conseguenza, il codice dannoso era difficile da rilevare e difficile da rimuovere: poteva persistere anche attraverso le comuni procedure di pulizia come una reinstallazione del sistema operativo o una sostituzione del disco rigido.
Perché aggressori e ricercatori stanno dedicando maggiori sforzi al firmware
Il firmware viene utilizzato per inizializzare l'hardware e altri software sul dispositivo e ha un livello di accesso e privilegi più elevato rispetto all'hypervisor e al kernel del sistema operativo, rendendolo quindi un bersaglio attraente per gli aggressori. Gli attacchi mirati al firmware possono minare meccanismi come l'avvio sicuro e altre funzionalità di sicurezza implementate dall'hypervisor o dal sistema operativo, rendendo più difficile identificare quando un sistema o un utente è stato compromesso. A complicare il problema è il fatto che le soluzioni di protezione e rilevamento degli endpoint hanno una visibilità limitata a livello di firmware, dato che corrono sotto il sistema operativo, rendendo più semplice l'evasione per gli aggressori che cercano il firmware.Cosa rende un PC protetto?
I PC core protetti combinano identità , virtualizzazione, sistema operativo, protezione hardware e firmware per aggiungere un ulteriore livello di sicurezza sotto il sistema operativo. A differenza delle soluzioni di sicurezza esclusivamente software, i PC con core protetto sono progettati per prevenire questo tipo di attacchi anziché semplicemente rilevarli. I nostri investimenti in dispositivi Windows Defender System Guard e Secured-core sono progettati per fornire al ricco ecosistema di dispositivi Windows 10 garanzie uniformi sull'integrità del sistema operativo lanciato e misurazioni verificabili del lancio del sistema operativo per aiutare a mitigare le minacce che prendono di mira a livello di firmware. Questi requisiti consentono ai clienti di eseguire l'avvio in sicurezza, proteggere il dispositivo dalle vulnerabilità del firmware, proteggere il sistema operativo dagli attacchi, impedire l'accesso non autorizzato a dispositivi e dati.Le misurazioni integrate possono essere utilizzate da SecOps e dagli amministratori IT per monitorare in remoto lo stato dei loro sistemi utilizzando l'attestazione di runtime di System Guard e implementare una rete a rischio zero radicata nell'hardware. Questa sicurezza avanzata del firmware funziona in sinergia con altre funzionalità di Windows per garantire che i PC con core protetto offrano protezioni complete contro le minacce moderne.
Rimozione della fiducia dal firmware
A partire da Windows 8, abbiamo introdotto Secure Boot per mitigare il rischio rappresentato da bootloader e rootkit dannosi che si basavano sul firmware UEFI (Unified Extensible Firmware Interface) per consentire l'esecuzione solo di bootloader correttamente firmati come il boot manager di Windows. Questo è stato un significativo passo avanti per proteggersi da questi specifici tipi di attacchi. Tuttavia, poiché il firmware è già attendibile per verificare i bootloader, Secure Boot da solo non protegge dalle minacce che sfruttano le vulnerabilità nel firmware fidato. Ecco perché abbiamo collaborato con i nostri partner per garantire che queste nuove funzionalità Core garantite siano spedite in dispositivi immediatamente pronti all'uso.Utilizzando le nuove funzionalità hardware di AMD , Intel e Qualcomm, Windows 10 implementa ora System Guard Secure Launchcome requisito chiave per i dispositivi PC core protetti per proteggere il processo di avvio dagli attacchi del firmware. System Guard utilizza le funzionalità Dynamic Root of Trust for Measurement (DRTM) integrate nell'ultimo silicio di AMD, Intel e Qualcomm per consentire al sistema di sfruttare il firmware per avviare l'hardware e quindi poco dopo aver reinizializzato il sistema in un stato attendibile utilizzando le funzionalità del caricatore di avvio del sistema operativo e del processore per inviare al sistema un percorso di codice noto e verificabile. Questo meccanismo aiuta a limitare la fiducia assegnata al firmware e fornisce una potente mitigazione contro minacce all'avanguardia e mirate contro il firmware. Questa capacità aiuta anche a proteggere l'integrità della funzionalità di sicurezza basata sulla virtualizzazione (VBS) implementata dall'hypervisor dalla compromissione del firmware. VBS si affida quindi all'hypervisor per isolare la funzionalità sensibile dal resto del sistema operativo, il che aiuta a proteggere la funzionalità VBS dal malware che potrebbe aver infettato il normale sistema operativo anche con privilegi elevati. La protezione di VBS è fondamentale poiché viene utilizzata come elemento di base per importanti funzionalità di sicurezza del sistema operativo come Windows Defender Credential Guard, che protegge dai malware in modo dannoso utilizzando le credenziali del sistema operativo e l'integrità del codice protetta da Hypervisor (HVCI) che garantisce l'applicazione di una rigorosa politica di integrità del codice e che tutto il codice del kernel sia firmato e verificato.
Essere in grado di misurare che il dispositivo avviato in modo sicuro è un altro elemento critico di questo ulteriore livello di protezione dal compromesso del firmware che offre agli amministratori una maggiore sicurezza che i loro endpoint siano sicuri. Ecco perché abbiamo implementato Trusted Platform Module 2.0 (TPM) come uno dei requisiti del dispositivo per i PC con core protetto. Utilizzando Trusted Platform Module 2.0 (TPM) per misurare i componenti utilizzati durante il processo di avvio sicuro, aiutiamo i clienti ad abilitare reti a rischio zero utilizzando l'attestazione di runtime di System Guard. I criteri di accesso condizionale possono essere implementati in base ai report forniti dal client di attestazione di System Guard in esecuzione in un ambiente VBS isolato.
Oltre alla funzionalità di avvio sicuro, Windows implementa ulteriori misure di sicurezza che funzionano quando il sistema operativo è in esecuzione per monitorare e limitare la funzionalità di funzionalità firmware potenzialmente pericolosa accessibile tramite la modalità di gestione del sistema (SMM).
Oltre alla protezione hardware del firmware presente nei PC con core protetto, Microsoft consiglia un approccio di difesa approfondito che include la revisione della sicurezza del codice, gli aggiornamenti automatici e la riduzione della superficie di attacco. Microsoft ha fornito un progetto di firmware open source chiamato Project-Mu che i produttori di PC possono utilizzare come punto di partenza per un firmware sicuro.
Come ottenere un PC protetto
Le nostre partnership ecosistemiche ci hanno permesso di aggiungere questo ulteriore livello di sicurezza nei dispositivi progettati per settori altamente mirati e utenti finali che gestiscono dati mission-critical in alcuni dei settori più sensibili ai dati come il governo, i servizi finanziari e l'assistenza sanitaria , pronto all'uso. Queste innovazioni si basano sul valore di Windows 10 Pro fornito con protezioni integrate come firewall, avvio sicuro e protezione della perdita di informazioni a livello di file che sono standard su ogni dispositivo.Dettagli e prezzi sui dispositivi Windows 10 Secured-core, compresi quelli di Dell, Dynabook, HP, Lenovo, Panasonic e linea Surface, sono disponibili a questa pagina Web.
Fonte: Microsoft
Articolo di HTNovo
