Firma Microsoft dostarczyła szczegółowe informacje na temat komputerów z zabezpieczonym rdzeniem — nowej klasy urządzeń z wbudowanymi zabezpieczeniami przed zagrożeniami cyberbezpieczeństwa.
Firma rozwija warowny Okna 10 komputery PC wspólnie z partnerami OEM. Mówi o nowej strategii chip-to-cloud, która zapewnia wielopoziomową ochronę systemu.
Ataki złośliwego oprogramowania RobbinHood
Komputery z zabezpieczonym rdzeniem są wyposażone w ochronę przed złośliwym oprogramowaniem RobbinHood (i innymi zagrożeniami) włączoną po wyjęciu z pudełka.
Takie zagrożenie może uniemożliwić dostęp do komputera lub danych. Atakujący może również użyć go, aby poprosić o określoną kwotę pieniędzy jako warunek wstępny uwolnienia systemu.
Podobną sytuację ucierpiał rząd Baltimore naruszenie cyberbezpieczeństwa w zeszłym roku po tym, jak hakerzy przejęli część miejskiego systemu informatycznego.
W typowym ataku RobbinHood złośliwe oprogramowanie atakuje system operacyjny jądro. Stamtąd może wykonywać najniższe i najbardziej wrażliwe funkcje systemu operacyjnego.
Oprogramowanie ransomware zawiera wiele plików, z których jeden może dać atakującemu podwyższone uprawnienia jądra. Gdy tak się stanie, intruz może wyłączyć podpisywanie i sprawdzanie poprawności sterowników trybu jądra.
To naruszenie toruje drogę do załadowania złośliwego sterownika z uprawnieniami na poziomie jądra, takimi jak wyłączanie funkcji lub narzędzi bezpieczeństwa.
Dlatego Microsoft jest proponując wieloaspektowe podejście do ochrony jądra. Strategia obejmowałaby wbudowanie cyberbezpieczeństwa w chipie, systemie operacyjnym i chmurze komputera.
Ochrona przed atakiem jądra
W przypadku urządzeń z zabezpieczonym rdzeniem integralność kodu chroniona przez hiperwizor (HVCI) weryfikuje każdy sterownik ładowany do jądra. Utrudnia to złośliwemu oprogramowaniu RobbinHood wprowadzenie i uruchomienie niepodpisanego sterownika w jądrze.
Komputery z zabezpieczonym rdzeniem to najnowszy sprzęt, który zapewnia kontrolę sterowników po wyjęciu z pudełka, z już ustawioną podstawową konfiguracją. Sterowanie sterownikami zapewnia połączenie technologii HVCI i Windows Defender Application Control (WDAC).
Dodatkowo te wzmocnione urządzenia mają wbudowaną ochronę przed wykonaniem niezweryfikowanego kodu.
Microsoft wspomniał również o Kernel Data Protection (KDP), nadchodzącej funkcji systemu Windows 10. Jego celem jest zapobieganie nielegalnej manipulacji pamięcią i danymi jądra.
Dlaczego bezpieczeństwo wspierane sprzętowo ma sens?
Istnieje kilka sposobów radzenia sobie z różnymi rodzajami ransomware w systemie Windows 10. Możesz jednak zwiększyć bezpieczeństwo swojego komputera dzięki zabezpieczeniom sprzętowym, ponieważ nie są one ukierunkowane tylko na system operacyjny.
Podobnie, nawet mając do dyspozycji wszystkie techniczne funkcje cyberbezpieczeństwa, możesz nie być w stanie dopasować ich do odpowiedniego profilu sprzętowego.
Ponadto, uzyskanie odpowiednich ustawień BIOS i systemu operacyjnego w celu zapewnienia optymalnej ochrony może być czasami trudne.
Interesujące będzie zobaczyć, jak urządzenia z rdzeniem zabezpieczonym radzą sobie z trwałymi zagrożeniami cyberbezpieczeństwa ze zdalnym wykonaniem kodu (RCE).
