有鉴于固件成为今日恶意程序下手对象的情形越来越普遍,微软周一宣布通过和硬件厂商合作推出具新安全功能的Secured core PC,防止计算机遭固件恶意程序黑入。
根据美国国家标准与技术研究所(National Institutional Standards and Technology, NIST)的国家漏洞数据库数据,过去三年内固件漏洞增长了5倍。这是因为固件是用于发动设备硬件,比OS或hypervisor具有更高访问权限,而成为黑客眼中的好目标。攻击固件可以突破Secure Boot和其他OS及Hypervisor软件实例的安全功能,在系统被黑时难以侦测到。此外,由于固件位于OS之下,端点防护软件看不太到固件层,使恶意程序更容易躲藏。2018年底,安全研究人员就发现黑客组织Strontium黑入固件漏洞传播恶意程序。
事实上,微软早就实例固件恶意程序的防护。Windows 8起,微软推出Secure Boot技术来防止利用UEFI(Unified Extensible Firmware Interface)固件的恶意开机程序和rootkit。但是这项技术的前提是信任固件来验证开机程序,因此无法防堵黑入受信任固件漏洞的恶意程序。为此,微软和计算机制造商及芯片企业合作设计更高端的硬件安全计划,称为Secured-core PC。
利用AMD、Intel及高通芯片新的动态可信度量根(Dynamic Root of Trust for Measurement,DRTM)功能,Windows 10 Secured–core PC开机将经过一个“系统防护安全启动”(System Guard Secure Launch)的过程,借此防止固件攻击的开机行程。原理是System Guard利用最新AMD、Intel及Qualcomm芯片内置的动态测量信任根(Dynamic Root of Trust Measurement,DRTM)技术,使系统运用固件启动硬件,之后立即重启系统,利用OS开机程序及处理器能力使系统进入已知且经验证的code path。微软指出,Secure Launch机制旨在减少对固件的信任,能更有效防堵入侵固件的网络威胁。
这种设计也能确保hypervisor实例的虚拟层安全(virtual-based security,VBS)的完整性。之后VBS就可靠hypervisor和OS其余部分隔离开来,防止有恶意程序利用权限升级破坏虚拟层的安全性,进而确保微软Windows Defender Credential Guard这类防护,后者可保护OS身份验证,以及HVCI(Hypervisor -protected Code Integrity)政策被恶意程序篡改,造成敏感数据外泄等危害。
微软也通过和PC厂商合作Secured-core PC,锁定涉及处理敏感数据的特定产业,像是政府、金融及健康看护业推出更高端的PC产品。这类PC搭载的Windows 10 Pro除了现有内置防火墙、Secure Boot、文件层数据外泄防护功能、TPM(Trusted Platform Module)2.0之外,再加入Secure Launch机制。
目前参与Secured-core PC计划的PC品牌包括Dell、Dynabook、HP、Lenovo、Panasonic及微软Surface。