微软端点防护Microsoft Defender ATP将添加统一可延伸固件接口(Unified Extensible Firmware Interface,UEFI)扫描功能,可用于扫描Windows 10 PC固件,防止攻击硬件的Rootkit程序。
近年安全防护产品能力让操作系统上的恶意程序难以遁形,促使攻击程序转向硬件和固件层。攻击者着眼于入侵开机程序,降低低端恶意程序行为被侦测的机会,因而成为新兴的企业安全威胁。
Windows 10原本已有Windows Defender系统安全防护(Windows Defender System Guard)功能,提供hypervisor验证和安全启动(Secure Launch)等硬件安全功能提供开机安全。安全启动是微软和芯片及PC商合作的“安全核心PC (Secured core PC)”计划的一环,利用英特尔、AMD、高通的动态测量信任根(Dynamic Root of Trust Measurement,DRTM)技术,防止PC开机程序遭固件攻击,但只限于该计划下的PC。最新的UEFI扫描,则是在Microsoft/ Windows Defender ATP加入UEFI扫描引擎组件,将固件扫描提供给更多PC。
UEFI扫描引擎使Microsoft Defender ATP得以扫描固件文件系统内部,并进行安全分析。它可和主板芯片组进行交互,在执行时读取固件文件系统。这个引擎分析是否有rootkit经由串行周边接口(Serial Peripheral Interface,SPI)进入固件、借由加载可疑驱动程序及定期性系统扫描,来查看全固件文件系统的内容、侦测引擎则可识别攻击程序及恶意行为。
所有侦测都集成在Windows Security App中的防护记录(Protection History)项之下,而若有侦测到异常行为则会通过Microsoft Defender安全中心发出告警,方便IT管理员的调查和分析、回应,也可以利用Microsoft Defender ATP的高端猎捕功能来追查威胁程序。
这些信息也可集成于跨端点、电子邮件、Azure、云计算App安全的微软威胁防护(Microsoft Threat Protection,MTP)之中。