Microsoft пообещала защитить устройства с Windows 10 Secure Core от зловредов

    image

    Microsoft утверждает, что ПК с защищенным ядром Windows 10 смогут успешно защищать своих пользователей от вредоносных программ, разработанных для уязвимых драйверов.


    В ПК с защищенным ядром по умолчанию включены следующие функции:

    image

    «Многочисленные атаки вредоносного ПО, в том числе RobbinHood, Uroburos, Derusbi, GrayFish и Sauron, а также кампании, проводимые субъектом угроз STRONTIUM, усиливают уязвимости драйверов (например, CVE-2008-3431, CVE-2013-3956, CVE-2009-0824, CVE-2010-1592 и т. д.), чтобы получить привилегии ядра и, в некоторых случаях, эффективно отключить агенты безопасности на скомпрометированных машинах», — отметили в Microsoft.

    В корпорации подчеркнули, что вредоносные программы злоупотребляют уязвимыми прошивками и драйверами. «В дополнение к уязвимым драйверам, существуют также драйверы, уязвимые по своей конструкции (имеют также называемые «червоточины»), которые могут нарушить обещание безопасности платформы, открывая прямой доступ к чтению/записи произвольной памяти на уровне ядра, MSR», — заявили представители Microsoft.

    Компания определила более 50 поставщиков таких драйверов. В настоящее время ведется работа по исправлению уязвимых драйверов.

    Совсем недавно операторы шифровальщика RobbinHood Ransomware использовали уязвимый драйвер GIGABYTE для повышения привилегий и установки вредоносных неподписанных драйверов Windows, которые позволяли завершать процессы антивирусного программного обеспечения на скомпрометированных системах.

    image

    «В этом сценарии атаки преступники использовали драйвер Gigabyte в качестве клина, чтобы они могли загрузить второй, неподписанный драйвер в Windows», — объяснили тогда исследователи Sophos. — «Затем этот второй драйвер идет на все, чтобы уничтожить процессы и файлы, принадлежащие продуктам безопасности конечных точек, минуя защиту от несанкционированного доступа, чтобы позволить вымогателям атаковать без помех».

    Как заявляет Microsoft, Windows 10 поставляется с функциями защиты аппаратного и встроенного программного обеспечения, которые могут успешно бороться с атаками, такими как заражение устройств с помощью Lojax и RobbinHood Ransomware.

    На изображении показан журнал событий с ПК с защищенным ядром, когда проводится проверка целостности памяти во время выполнения. Это предотвращает подделку параметров CI RobbinHood и, следовательно, загрузку вредоносного драйвера RBNL.sys.

    image

    Также клиент может создать собственный блок-лист. Ниже приведен пример такого стоп-листа, который блокирует уязвимый драйвер GDRV.sys.

    image

    Кроме того, ПК с защищенным ядром, представленные Microsoft в октябре 2019 года в партнерстве с Lenovo, HP, Dell, Panasonic, Dynabook и Getac, могут блокировать атаки на уровне встроенного ПО, поскольку они поставляются с этими функциями безопасности с аппаратной поддержкой, включенными по умолчанию. Пользователям не нужно вручную вносить необходимые изменения в настройки BIOS и ОС.

    Однако пользователи других устройств также могут воспользоваться защитой, если они правильно настроят свое оборудование и функции безопасности Windows.

    «В частности, должны быть включены следующие функции: безопасная загрузка, HVCI (включает VBS), KDP (автоматически включается, когда VBS включен), KDMA (только Thunderbolt) и системный защитник Windows Defender», — объясняет Microsoft.

    Пользователи компьютеров с защищенным ядром получают сразу цельную схему защиты «от облака к облаку», которая работает с облачными сервисами и Microsoft Defender ATP для агрегирования предупреждений от аппаратных элементов для обеспечения сквозного доступа».
    См. также:

    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 3

      0

      Manual map драйверов скоро будет проблемным :(

        0
        а для чего он бывает нужен?
          0

          Пользуются для обхода античитов. Kdmapper на github посмотрите.

      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

      Самое читаемое