Microsoft a fourni des informations détaillées sur les ordinateurs à noyau sécurisé, une nouvelle classe d'appareils avec renforcement intégré contre les menaces de cybersécurité.
La société a développé le fortifié Windows 10 PC conjointement avec ses partenaires OEM. Il parle d'une nouvelle stratégie puce-à-cloud qui offre une protection du système à plusieurs niveaux.
Attaques de logiciels malveillants RobbinHood
Les PC à noyau sécurisé sont livrés avec des défenses contre le malware RobbinHood (et d'autres menaces) activées prêtes à l'emploi.
Une telle menace peut vous empêcher d'accéder à votre ordinateur ou à vos données. En outre, un attaquant peut l'utiliser pour demander une somme d'argent spécifique comme condition préalable à la libération de votre système.
Le gouvernement de Baltimore a subi une violation de la cybersécurité l'année dernière après que des pirates se soient emparés d'une partie du système informatique de la ville.
Dans une attaque RobbinHood typique, le malware cible les
noyau. À partir de là, il peut exécuter les fonctions de niveau le plus bas et les plus sensibles du système d'exploitation.Le ransomware contient plusieurs fichiers, dont l'un peut donner à un attaquant des privilèges de noyau élevés. Une fois que cela se produit, l'intrus peut désactiver la signature et la validation du pilote en mode noyau.
Cette violation ouvre la voie au chargement d'un pilote malveillant avec des privilèges au niveau du noyau, comme la désactivation des fonctionnalités ou des outils de sécurité.
C'est pourquoi Microsoft est proposer une approche à multiples facettes pour protéger le noyau. La stratégie impliquerait d'intégrer la cybersécurité dans la puce du PC, le système d'exploitation et le cloud.
Protection contre les attaques du noyau
Avec les périphériques à cœur sécurisé, l'intégrité du code protégé par l'hyperviseur (HVCI) vérifie chaque pilote chargé dans le noyau. Il est donc difficile pour les logiciels malveillants RobbinHood d'introduire et d'exécuter un pilote non signé dans le noyau.
Les PC à noyau sécurisé sont le matériel le plus récent pour fournir un contrôle de pilote prêt à l'emploi, avec une configuration de base déjà définie. Le contrôle du pilote est assuré par une combinaison des technologies HVCI et Windows Defender Application Control (WDAC).
De plus, ces appareils renforcés sont dotés de défenses intégrées contre l'exécution de code non vérifié.
Microsoft a également parlé de Kernel Data Protection (KDP), une fonctionnalité à venir de Windows 10. Son but est d'empêcher la manipulation illégale de la mémoire et des données du noyau.
Pourquoi la sécurité matérielle a du sens
Il existe plusieurs façons de gérer différents types de ransomware dans Windows 10. Cependant, vous pouvez renforcer la sécurité de votre PC avec des défenses matérielles, car elles ne sont pas uniquement axées sur le système d'exploitation.
De même, même avec toutes les fonctionnalités techniques de cybersécurité à votre disposition, vous ne pourrez peut-être pas les faire correspondre au bon profil matériel.
De plus, obtenir les bons paramètres du BIOS et du système d'exploitation pour une protection optimale peut parfois être délicat.
Il sera intéressant de voir comment les périphériques sécurisés se comparent aux menaces persistantes de cybersécurité d'exécution de code à distance (RCE).
