Microsoft已经宣布,其Microsoft Defender高级威胁防护(ATP)企业端点安全平台现在能够借助新的UEFI扫描程序来检测和保护客户免受统一可扩展固件接口(UEFI)恶意软件的侵害。
自2019年10月以来,这种内置的固件攻击防护已包括在Windows 10安全核心PC中,并且可以保护此类设备的用户免受攻击者滥用滥用影响固件和驱动程序的安全漏洞的攻击者的侵害。
“ Windows Defender System Guard通过提供硬件支持的安全功能(例如虚拟机监控程序级别的证明和安全启动,也称为动态信任根(DRTM))来保证安全启动,从而帮助防御固件攻击,默认情况下,在Secured-核心PC,”微软表示。
一个因滥用固件漏洞而闻名的威胁者是俄罗斯支持的APT28威胁小组(也被追踪为Tsar Team,Sednit,Fancy Bear,Strontium和Sofacy),他们在2018年某些行动中使用了一个名为LoJax的UEFI Rootkit。
UEFI木马Windows安全通知(Microsoft)
新的UEFI扫描器是由合作伙伴芯片组制造商提供的见识而构建的,是Windows 10内置防病毒解决方案的组件,能够在对固件文件系统进行扫描后执行安全评估。
Microsoft Defender ATP的UEFI扫描程序通过读取“在运行时通过与主板芯片组进行交互的固件文件系统”来工作,并且通过定期扫描或在运行时事件(例如可疑驱动程序负载)自动触发它。
为了发现固件恶意代码,UEFI扫描仪使用多个组件,包括UEFI防rootkit通过串行外围设备接口(SPI)闪存扫描固件,完整的文件系统扫描仪以分析固件中的内容以及专用的检测引擎用于识别固件漏洞和恶意行为。
Microsoft Defender ATP分析来自UEFI扫描器的信 ,以检测SPI闪存中的未知威胁以检测异常,这将使 告者前往Microsoft Defender安全中心进行进一步调查。
Microsoft Defender ATP固件恶意代码警 (Microsoft)
微软总结道:“借助UEFI扫描仪,Microsoft Defender ATP可以更深入地了解固件级别的威胁,攻击者已将精力集中在这些级别上。”
“安全运营团队可以使用这种新的可见性级别,以及Microsoft Defender ATP中丰富的检测和响应功能集,来调查和遏制此类高级攻击。
“ Microsoft Threat Protection(MTP)也提供了这种可见性,它提供了更广泛的跨域防御,可以协调跨端点,身份,电子邮件和应用程序的保护。”
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!