Microsoft phối hợp cung cấp biện pháp PC bảo mật lõi giúp đảm bảo an toàn firmware
Microsoft đặt tên cho sáng kiến bảo vệ phần lõi của hãng là “PC bảo mật lõi” (Secured-core PC). Hãng cũng cho biết, thiết bị này có thể được mua từ Dell, Dynabook, HP, Lenovo và Panasonic hoặc từ các cửa hàng máy tính Surface của hãng.
David Weston, Giám đốc bảo mật hệ điều hành tại Microsoft cho biết, các PC bảo mật lõi kết hợp các yếu tố bao gồm nhận dạng, ảo hóa, hệ điều hành, bảo vệ phần cứng và firmware, từ đó thêm một lớp bảo mật bên dưới hệ điều hành. Không như các giải pháp bảo mật chỉ dành cho phần mềm, các PC bảo mật lõi được thiết kế để ngăn chặn các tấn công thay vì chỉ đơn giản là phát hiện ra chúng.
Trong email gửi tới hãng truyền thông The Register, Weston cho biết, các yêu cầu của PC bảo mật lõi đòi hỏi tích hợp các biện pháp bảo vệ phần cứng và firmware. Các chip mới nhất của AMD, Intel, Qualcomm có Trusted Platform Module 2.0 (TPM 2.0) và Dynamic Root of Trust (DRTM) được dựng sẵn bên trong và bảo mật dựa trên ảo hóa (virtualization-based security) bắt buộc kích hoạt theo mặc định. Hệ điều hành phải là Windows 10 Pro. Windows Hello và Credential Guard phải được sử dụng để bảo mật đăng nhập và bảo mật dựa trên ảo hóa.
Chứng thực thời gian chạy System Guard cũng được tích hợp bằng việc sử dụng TPM 2.0 để xác thực rằng thiết bị đã khởi động an toàn. Thông tin đó được chuyển đến Intune - giải pháp di động dành cho doanh nghiệp của Microsoft. Nếu Intune chỉ ra rằng thiết bị không toàn vẹn, nó có thể thực hiện một loạt các hành động, bao gồm từ chối quyền truy cập của thiết bị vào các tài nguyên nhạy cảm. Weston cho biết, Microsoft không yêu cầu các đối tác phần cứng công khai bất kỳ dữ liệu hoặc báo cáo bổ sung nào như một phần của quy trình bảo mật.
Weston cho hay, năm 2018, nhóm tin tặc Strontium - còn được gọi là Fancy Bear - đã bị phát hiện cài mã độc thông qua các lỗ hổng của firmware. Vì firmware hoạt động bên dưới hệ điều hành, nên tuy các công cụ bảo mật truyền thống biết về các sự cố firmware mà không thể làm gì nhiều để khắc phục khi phát hiện ra.
Do đó, mã độc rất khó bị phát hiện và gỡ bỏ - nó có thể tồn tại ngay cả sau các quy trình dọn dẹp thông thường như cài đặt lại hệ điều hành hoặc thay thế ổ cứng. Vì vậy, Windows 10 hiện bao gồm Windows Defender System Guard Secure Launch (SGSL) có chức năng bảo vệ quá trình khởi động khỏi tấn công firmware là một phần của PC bảo mật lõi. Nó bổ sung cho bảo mật dựa trên ảo hóa của Microsoft, một biện pháp bảo vệ lõi hệ điều hành đã ra mắt trong Windows 10 vào năm 2015, giúp bảo vệ trình giám sát máy ảo (hypervisor). SGSL dựa trên các tính năng phần cứng DRTM hiện được cung cấp bởi AMD, Intel và Qualcomm.
Akash Malhotra, Giám đốc quản lý sản phẩm bảo mật tại AMD giải thích, trên các chip Ryzen mới nhất của AMD, các chỉ lệnh CPU SKINIT, AMD Secure Processor và AMD Secure Loader (SL) cùng nhau hợp thành DRTM Service Block. DRTM Service Block tạo ra chuỗi tin cậy, với SKINIT khởi động firmware và bootloader ở chế độ vận hành không tin cậy và sau đó khởi tạo lại bộ xử lý để tạo môi trường thực thi an toàn cho SL. Tiếp đó, SL xác nhận chi tiết cấu hình máy tính bằng cách truy vấn phần cứng để lấy dữ liệu từ Dịch vụ DRTM. Hệ điều hành có thể yêu cầu xác nhận lại bất cứ lúc nào để đảm bảo không có sự thay đổi firmware nào xảy ra.
SGSL cũng tương tác với System Management Mode (SMM), chế độ chỉ lệnh CPU x86 đặc biệt để xử lý các lệnh liên quan đến quản lý năng lượng, cấu hình phần cứng, giám sát nhiệt hoặc các chức năng khác được chỉ định bởi các nhà sản xuất phần cứng. Vì SMM hoạt động ở cấp đặc quyền cao nhất, nên đây là mục tiêu tấn công hàng đầu của tin tặc. Vì vậy, SGSL hỗ trợ bảo vệ phân trang để chặn truy cập không mong muốn vào bộ nhớ và trình xử lý Supervisor's Management Institute (SMI) sẽ theo dõi SMM để bảo vệ không gian địa chỉ của nó.
Các yêu cầu khác của PC bảo mật lõi bao gồm các biện pháp toàn vẹn hệ thống cơ bản như hỗ trợ TPM 2.0, cho phép khách hàng tạo các mạng không tin cậy dựa trên chứng thực thời gian chạy của SGSL. Ngoài ra còn yêu cầu các tính năng bảo vệ lõi hệ điều hành như tính toàn vẹn mã bảo vệ bởi hypervisor (hypervisor-protected code integrity).
Với các đối tác phần cứng thì không có các tiêu chuẩn bảo mật bắt buộc nhưng vẫn có khuyến nghị. Theo Weston, mặc dù Microsoft không bắt buộc áp dụng các quy trình đánh giá bảo mật firmware cụ thể, nhưng có những yêu cầu nhất định cũng như các khuyến nghị cho các nhà sản xuất phần cứng và firmware cần đáp ứng để cung cấp các PC lõi bảo mật.
“Ngoài giới thiệu khả năng bảo vệ phần cứng của firmware trong các PC bảo mật lõi, Microsoft cũng khuyến nghị một tập hợp các biện pháp bảo mật tốt nhất để các đối tác tuân theo. Hãng khuyên người dùng nên sử dụng phương pháp bảo vệ nhiều lớp bao gồm rà soát bảo mật mã nguồn, cập nhật tự động và giảm bề mặt tấn công”.
Weston cũng chỉ ra rằng, Microsoft có một dự án phần mềm nguồn mở có tên Project-Mu mà các nhà sản xuất PC có thể sử dụng làm điểm bắt đầu cho việc bảo vệ firmware an toàn hơn.
Nguyễn Anh Tuấn
Theo The Register