A Microsoft részletes információkat nyújtott a biztonságos magú számítógépekről - a kiberbiztonsági fenyegetésekkel szemben beépített erősítéssel rendelkező új osztályú eszközökről.
A vállalat fejlesztette az erődítményeket Windows 10 PC-k OEM partnereivel közösen. Új chip-felhő stratégiáról beszél, amely többszintű rendszervédelmet nyújt.
RobbinHood malware támadások
A biztonságos magú PC-k védelmet nyújtanak a RobbinHood malware (és más fenyegetések) ellen, amelyek már a dobozon kívül engedélyezettek.
Egy ilyen fenyegetés megakadályozhatja, hogy hozzáférjen a számítógépéhez vagy az adatokhoz. Ezenkívül a támadó felhasználhatja arra, hogy meghatározott összeget kérjen a rendszer felszabadításának előfeltételeként.
Baltimore kormánya is hasonlót szenvedett a kiberbiztonság megsértése tavaly, miután a hackerek megragadták a város informatikai rendszerének egy részét.
Egy tipikus RobbinHood támadás során a rosszindulatú program az operációs rendszerét célozza meg kernel. Onnan képes végrehajtani az operációs rendszer legalacsonyabb szintű és legérzékenyebb funkcióit.
A ransomware több fájlt tartalmaz, amelyek közül az egyik magasabb támadási jogokat adhat a támadónak. Amint ez megtörténik, a behatoló letilthatja a kernel módú illesztőprogram aláírását és érvényesítését.
Ez a megsértés utat nyit egy rosszindulatú illesztőprogram kernel szintű jogosultságokkal történő betöltéséhez, például a biztonsági funkciók vagy eszközök kikapcsolásához.
Ezért a Microsoft javaslatot tesz sokoldalú megközelítés a kernel védelmére. A stratégia magában foglalná a kiberbiztonság beépítését a PC chipjébe, operációs rendszerébe és a felhőbe.
Védekezés a kerneltámadás ellen
A biztonságos magú eszközökkel a Hypervisor által védett kódintegritás (HVCI) ellenőrzi a kernelbe betöltődő minden illesztőprogramot. Megnehezíti a RobbinHood rosszindulatú programok számára egy aláíratlan illesztőprogram bevezetését és futtatását a kernelben.
A biztonságos magú PC-k a legújabb hardverek, amelyek az illesztőprogram vezérlését már a dobozon kívül biztosítják, és az alapkonfiguráció már meg van adva. Az illesztőprogram vezérlését a HVCI és a Windows Defender Application Control (WDAC) technológiák kombinációja biztosítja.
Ezenkívül ezek a megerősített eszközök beépített védelemmel rendelkeznek a nem ellenőrzött kód futtatása ellen.
A Microsoft beszélt a Kernel Data Protectionról (KDP) is, amely egy hamarosan megjelenő Windows 10 szolgáltatás. Célja a kernelmemória és az adatok illegális manipulációjának megakadályozása.
Miért van értelme a hardver által támogatott biztonságnak?
A különböző típusú kezeléseknek többféle módja van ransomware a Windows 10 rendszerben. A számítógép biztonságát azonban hardveres védelemmel növelheti, mert ezek nem csak az operációs rendszerre összpontosítanak.
Hasonlóképpen, még az összes rendelkezésére álló technikai kiberbiztonsági funkció ellenére sem biztos, hogy képes lesz összehangolni őket a megfelelő hardverprofillal.
A BIOS és az OS beállításainak megfelelő helyreállítása az optimális védelem érdekében néha bonyolult lehet.
Érdekes lesz látni, hogy a biztonságos magú eszközök hogyan halmozódnak fel a távoli kódfuttatás (RCE) kiberbiztonsági fenyegetéseivel szemben.
