Microsoft Defender ATP analyse désormais le microprogramme du PC Windows 10 pour détecter les attaques de rootkits
Microsoft a mis en place des défenses au niveau du micrologiciel dans les PC Windows 10 Secured-Core pour l’entreprise, et apporte maintenant des capacités similaires à son logiciel antivirus d’entreprise, Microsoft Defender Advanced Threat Protection (ATP).
Les PC sécurisés comprennent une poignée de PC Windows 10, dont le Surface Pro X, HP Elite Dragonfly, Dell Latitude 7400, et la quatrième génération de Lenovo ThinkPad X1 Yoga.
L’une des principales protections au niveau matériel qu’elles offrent est la protection DMA (Direct Memory Access) du noyau, qui peut atténuer[les attaques pratiques qui exploitent, par exemple, l’interface Thunderbolt pour voler des données en mémoire. Parmi les autres, citons le Trusted Platform Module (TPM), la sécurité basée sur la virtualisation, le Windows Defender System Guard, l’hypervisor-protected code integrity (HVCI) et les outils permettant de bloquer l’exécution de code non vérifié.
Analyse de l’interface entre le système d’exploitation et le microprogramme
Cette lignée de PC est destinée aux organisations qui sont dans le collimateur des pirates informatiques soutenus par l’État, comme le groupe russe Fancy Bear, et certaines souches récentes de logiciels de rançon.
Le nouveau scanner UEFI (Unified Extensible Firmware Interface) de Windows Defender ATP analyse l’interface entre le système d’exploitation et le microprogramme, ce qui permet de rendre plus largement disponible une fonction de sécurité qui était auparavant exclusive aux PC Windows 10 sécurisés.
Le scanner doit détecter si un rootkit ou un autre logiciel malveillant altère le code utilisé pour démarrer un PC en utilisant les informations des fabricants de cartes mères. “Le scanner UEFI est un nouveau composant de la solution antivirus intégrée de Windows 10 et donne à Microsoft Defender ATP la capacité unique de scanner à l’intérieur du système de fichiers du firmware et d’effectuer une évaluation de la sécurité”, explique l’équipe de Microsoft Defender ATP dans un billet de blog. “Il intègre les informations fournies par nos partenaires fabricants de puces et étend la protection complète des terminaux fournie par Microsoft Defender ATP”.
Inspection du contenu du microprogramme
Comme l’explique Microsoft, le scanner UEFI peut aider à repérer les attaques qui exploitent des machines dont le démarrage sécurisé est désactivé ou dont le chipset de la carte mère est mal configuré.
En modifiant le micrologiciel ou les pilotes UEFI, les attaquants peuvent procéder à plusieurs actions – comme désactiver l’antivirus – qui passent sous le radar d’un antivirus traditionnel et du système d’exploitation.
Le scanner UEFI analyse le microprogramme qu’il reçoit de la mémoire flash Serial Peripheral Interface (SPI), ce qui n’est pas une tâche facile étant donné que le microprogramme n’est pas accessible depuis la mémoire principale d’une machine. “En obtenant le microprogramme, le scanner est capable d’analyser le microprogramme, ce qui permet à Microsoft Defender ATP d’inspecter le contenu du microprogramme au moment de l’exécution”, explique Microsoft.
Source : ZDNet.com
