A Microsoft forneceu informações detalhadas sobre computadores de núcleo protegido - uma nova classe de dispositivos com fortificação integrada contra ameaças de segurança cibernética.
A empresa tem desenvolvido o fortificado Windows 10 PCs em conjunto com seus parceiros OEM. Ele está falando sobre uma nova estratégia de chip para nuvem que fornece proteção de sistema em vários níveis.
Ataques de malware RobbinHood
Os PCs com núcleo seguro vêm com defesas contra o malware RobbinHood (e outras ameaças) habilitadas imediatamente.
Essa ameaça pode impedir que você acesse seu computador ou dados. Além disso, um invasor pode usá-lo para pedir uma quantia específica de dinheiro como uma pré-condição para liberar seu sistema.
O governo de Baltimore sofreu uma situação semelhante violação da cibersegurança no ano passado, depois que hackers apreenderam parte do sistema de tecnologia da informação da cidade.
Em um ataque RobbinHood típico, o malware tem como alvo o sistema operacional núcleo. A partir daí, ele pode executar as funções de nível mais baixo e mais sensíveis do sistema operacional.
O ransomware contém vários arquivos, um dos quais pode dar a um invasor privilégios de kernel elevados. Assim que isso acontecer, o invasor pode desabilitar a assinatura e a validação do driver do modo kernel.
Essa violação abre caminho para o carregamento de um driver malicioso com privilégios no nível do kernel, como desligar recursos ou ferramentas de segurança.
É por isso que a Microsoft é propondo uma abordagem multifacetada para proteger o kernel. A estratégia envolveria a construção de cibersegurança no chip do PC, sistema operacional e nuvem.
Proteção contra ataque de kernel
Com dispositivos de núcleo protegido, a integridade do código protegido pelo hipervisor (HVCI) verifica cada driver carregado no kernel. Isso torna difícil para o malware RobbinHood introduzir e executar um driver não assinado no kernel.
Os PCs de núcleo seguro são o hardware mais recente para fornecer controle de driver pronto para uso, com a configuração básica já definida. O controle do driver é fornecido por uma combinação de tecnologias HVCI e Windows Defender Application Control (WDAC).
Além disso, esses dispositivos fortificados vêm com defesas integradas contra a execução de código não verificado.
A Microsoft também falou sobre Kernel Data Protection (KDP), um recurso do Windows 10 que está por vir. Seu objetivo é evitar a manipulação ilegal da memória e dos dados do kernel.
Por que a segurança apoiada por hardware faz sentido
Existem várias maneiras de lidar com diferentes tipos de ransomware no Windows 10. No entanto, você pode aumentar a segurança do seu PC com defesas apoiadas por hardware porque estas não são apenas focadas no SO.
Da mesma forma, mesmo com todos os recursos técnicos de segurança cibernética à sua disposição, você pode não conseguir combiná-los com o perfil de hardware correto.
Além disso, obter as configurações do BIOS e do sistema operacional corretas para proteção ideal pode ser complicado às vezes.
Será interessante ver como os dispositivos de núcleo protegido se empilham contra ameaças persistentes de execução remota de código (RCE).
