Skaner UEFI w Microsoft Defender ATP

Microsoft Defender rozszerza swoje możliwości ochrony do poziomu oprogramowania wbudowanego o nowy skaner Unified Extensible Firmware Interface (UEFI).

W ostatnich latach liczba ataków na sprzęt i oprogramowanie układowe stale rośnie.

Windows Defender System Guard pomaga chronić się przed atakami oprogramowania układowego, zapewniając gwarancje bezpiecznego rozruchu poprzez funkcje bezpieczeństwa wspierane sprzętowo, jak Dynamic Root of Trust (DRTM), które jest domyślnie włączone także w komputerach osobistych.

Microsoft-Defender-ATP-alert-for-detecing-malicious-code-in-firmware

Microsoft-Defender-ATP-alert-for-detecing-malicious-code-in-firmware

Nowy silnik skanowania UEFI w Microsoft Defender ATP rozszerza te zabezpieczenia, dzięki szerokiemu dostępowi do skanowania oprogramowania układowego.

Skaner UEFI jest nowym składnikiem wbudowanego rozwiązania antywirusowego w systemie Windows 10 i daje Microsoft Defender ATP unikalną możliwość skanowania wewnątrz systemu plików oprogramowania układowego i przeprowadzania oceny bezpieczeństwa.

Integruje informacje od producentów mikroukładów i dodatkowo rozszerza kompleksową ochronę punktów końcowych zapewnianą przez Microsoft Defender ATP.

Jak działa skaner UEFI w Microsoft Defender ATP

Nowy skaner UEFI odczytuje system plików oprogramowania układowego w czasie wykonywania poprzez interakcję z mikroukładem płyty głównej. Aby wykryć zagrożenia, wykonuje analizę dynamiczną przy użyciu wielu nowych składników rozwiązania, które obejmują:
– UEFI anti-rootkit, który dociera do oprogramowania układowego poprzez interfejs szeregowy (SPI)
– Pełny skaner systemu plików, który analizuje zawartość oprogramowania wewnętrznego
– Silnik wykrywania, który identyfikuje exploity i złośliwe zachowania.

Windows Security Notifications

Windows Security Notifications

Skanowanie oprogramowania układowego jest koordynowane przez zdarzenia środowiska wykonawczego, takie jak podejrzane obciążenie sterownika i okresowe skanowanie systemu. Wykrywania są zgłaszane w Zabezpieczeniach systemu Windows w obszarze Historia ochrony.

Klienci Microsoft Defender ATP będą również widzieć te wykrycia zgłaszane jako alerty w Microsoft Defender Security Center, umożliwiając zespołom operacji bezpieczeństwa badanie i reagowanie na ataki oprogramowania i podejrzane działania na poziomie oprogramowania w ich środowiskach.

Aby wykryć nieznane zagrożenia we flashu SPI, analizowane są sygnały ze skanera UEFI w celu zidentyfikowania anomalii i miejsca ich wykonania. Anomalie są zgłaszane do Centrum bezpieczeństwa Microsoft Defender w celu zbadania.

Więcej przeczytasz na stronie Microsoft – https://www.microsoft.com/security/blog/2020/06/17/uefi-scanner-brings-microsoft-defender-atp-protection-to-a-new-level/