Microsoft Defender ATP adesso protegge anche il Firmware

giu 18, 2020

Nuovo livello raggiunto dal sistema di protezione avanzata Microsoft con gli ultimi aggiornamenti.

Microsoft Defender ATP adesso protegge anche il Firmware
Microsoft annuncia un nuovo punto di arrivo del suo Sistema di protezione avanzata multipiattaforma. Microsoft Defender ATP adesso protegge anche il Firmware, mettendo al sicuro utenti ed aziende da attacchi hardware. I dettagli.

Microsoft Defender Advanced Threat Protection (Microsoft Defender ATP) include le sue capacità di protezione a livello di firmware con un nuovo scanner UEFI (Unified Extensible Firmware Interface).

Gli attacchi a livello di hardware e firmware hanno continuato a crescere negli ultimi anni, poiché le moderne soluzioni di sicurezza hanno reso più difficile la persistenza e l'evoluzione del rilevamento sul sistema operativo. Gli aggressori compromettono il flusso di avvio per ottenere l'acquisto di malware di basso livello che sono difficili da rilevare, comportando un rischio significativo per la posizione di sicurezza di quest'ultimo.

Windows Defender System Guard aiuta a difendersi dagli attacchi del firmware fornendo garanzie di avvio sicuro tramite funzionalità di sicurezza supportata dall'hardware come l' attestazione a livello di hypervisor e Secure Launch , noto anche come Dynamic Root of Trust (DRTM), che sono abilitate per impostazione predefinita in PC con core protetto . Il nuovo motore di scansione UEFI in Microsoft Defender ATP espande queste protezioni rendendo completamente disponibile la scansione del firmware.
Lo scanner UEFI è un nuovo componente della soluzione antivirus integrata su Windows 10 e offre a Microsoft Defender ATP la capacità unica di eseguire la scansione all'interno del file system del firmware ed eseguire la valutazione della sicurezza. Integra le intuizioni dei nostri produttori di chipset partner e amplia ulteriormente la protezione completa degli endpoint fornita da Microsoft Defender ATP.

Come funziona lo scanner UEFI in Microsoft Defender ATP

Il nuovo scanner UEFI legge il file system del firmware in fase di esecuzione interagendo con il chipset della scheda madre. Per rilevare le minacce, esegue analisi dinamiche utilizzando più nuovi componenti della soluzione che includono:

  • UEFI anti-rootkit, che raggiunge il firmware tramite Serial Peripheral Interface (SPI)
  • Scanner completo del filesystem, che analizza il contenuto all'interno del firmware
  • Motore di rilevamento, che identifica exploit e comportamenti dannosi
La scansione del firmware è orchestrata da eventi di runtime come caricamento sospetto del driver e scansioni periodiche del sistema. I rilevamenti sono riportati in Sicurezza di Windows, sotto Cronologia protezione.


Notifica di sicurezza di Windows che mostra il rilevamento di contenuti dannosi nella memoria non volatile (NVRAM)

I clienti di Microsoft Defender ATP vedranno anche questi rilevamenti sollevati come avvisi nel Microsoft Defender Security Center, consentendo ai team delle operazioni di sicurezza di indagare e rispondere agli attacchi del firmware e alle attività sospette a livello di firmware nei loro ambienti.

Schermata dell'avviso ATP di Microsoft Defender per il rilevamento di codice dannoso nel firmware
Avviso ATP di Microsoft Defender per il rilevamento di codice dannoso nel firmware

Per rilevare minacce sconosciute nel flash SPI, i segnali dallo scanner UEFI vengono analizzati per identificare anomalie e dove sono stati eseguiti. Le anomalie vengono segnalate al Microsoft Defender Security Center per le indagini.

Schermata dell'avviso ATP di Microsoft Defender per possibile impianto di malware nel file system UEFI
Avviso ATP di Microsoft Defender per possibile impianto di malware nel file system UEFI

Livelli di sicurezza completi con protezioni di basso livello

Il nuovo scanner UEFI si aggiunge a un ricco set di tecnologie Microsoft che si integrano per offrire sicurezza da chip a cloud, da una solida radice hardware di fiducia a soluzioni di sicurezza basate su cloud a livello di sistema operativo.

Le funzionalità di sicurezza supportate dall'hardware come l'avvio sicuro e l'attestazione del dispositivo aiutano a bloccare gli attacchi del firmware. Queste funzionalità, abilitate per impostazione predefinita nei PC con core protetto , si integrano perfettamente con l'ATP di Microsoft Defender per fornire una protezione completa degli endpoint.

Con il suo scanner UEFI, Microsoft Defender ATP ottiene una visibilità ancora maggiore sulle minacce a livello di firmware, su cui gli aggressori hanno sempre più concentrato i propri sforzi. I team delle operazioni di sicurezza possono utilizzare questo nuovo livello di visibilità, insieme al ricco set di funzionalità di rilevamento e risposta in Microsoft Defender ATP, per indagare e contenere tali attacchi avanzati.

Questo livello di visibilità è disponibile anche in Microsoft Threat Protection (MTP), che offre una difesa interdominio ancora più ampia che coordina la protezione su endpoint, identità, e-mail e app.
Articolo di HTNovo
Creative Commons License

Modulo di contatto

Archivio