Microsoft ha fornito informazioni dettagliate sui computer protetti, una nuova classe di dispositivi con fortificazione integrata contro le minacce alla sicurezza informatica.
L'azienda ha sviluppato il fortificato Windows 10 PC in collaborazione con i suoi partner OEM. Si tratta di una nuova strategia da chip a cloud che fornisce una protezione del sistema multilivello.
Attacchi malware RobbinHood
I PC Secured-core sono dotati di difese contro il malware RobbinHood (e altre minacce) abilitate immediatamente.
Tale minaccia potrebbe impedirti di accedere al tuo computer o ai tuoi dati. Inoltre, un utente malintenzionato può utilizzarlo per richiedere una determinata somma di denaro come precondizione per il rilascio del sistema.
Il governo di Baltimora ha subito una situazione simile violazione della sicurezza informatica l'anno scorso dopo che gli hacker hanno sequestrato parte del sistema informatico della città.
In un tipico attacco RobbinHood, il malware prende di mira il tuo sistema operativo
kernel. Da lì, può eseguire le funzioni di livello più basso e più sensibili del sistema operativo.Il ransomware contiene più file, uno dei quali può fornire a un utente malintenzionato privilegi elevati del kernel. Una volta che ciò accade, l'intruso può disabilitare la firma e la convalida del driver in modalità kernel.
Questa violazione apre la strada al caricamento di un driver dannoso con privilegi a livello di kernel come la disattivazione delle funzionalità o degli strumenti di sicurezza.
Ecco perché Microsoft è proponendo un approccio multiforme alla protezione del kernel. La strategia comporterebbe l'integrazione della sicurezza informatica nel chip, nel sistema operativo e nel cloud del PC.
Difendersi dagli attacchi del kernel
Con i dispositivi secure-core, l'integrità del codice protetto dall'hypervisor (HVCI) verifica ogni driver che viene caricato nel kernel. Rende difficile per il malware RobbinHood introdurre ed eseguire un driver non firmato nel kernel.
I PC Secured-core sono l'hardware più recente per fornire il controllo del driver immediatamente, con la configurazione di base già impostata. Il controllo del driver è fornito da una combinazione di tecnologie HVCI e Windows Defender Application Control (WDAC).
Inoltre, questi dispositivi fortificati sono dotati di difese integrate contro l'esecuzione di codice non verificato.
Microsoft ha anche parlato di Kernel Data Protection (KDP), un'imminente funzionalità di Windows 10. Il suo scopo è prevenire la manipolazione illegale della memoria e dei dati del kernel.
Perché la sicurezza basata su hardware ha senso
Esistono diversi modi per gestire diversi tipi di ransomware in Windows 10. Tuttavia, puoi aumentare la sicurezza del tuo PC con difese supportate dall'hardware perché non sono solo incentrate sul sistema operativo.
Allo stesso modo, anche con tutte le funzionalità tecniche di sicurezza informatica a tua disposizione, potresti non essere in grado di abbinarle al profilo hardware corretto.
Inoltre, ottenere le impostazioni corrette del BIOS e del sistema operativo per una protezione ottimale a volte può essere complicato.
Sarà interessante vedere come i dispositivi secure-core si comportano contro le minacce alla sicurezza informatica persistenti di esecuzione di codice remoto (RCE).
