Bổ sung tính năng quét UEFI vào Microsoft Defender Advanced Threat Protection
Hai năm trước, hãng công nghệ Microsoft đã đưa ra giải pháp Windows Defender System Guard để ngăn chặn các cuộc tấn công ở cấp độ firmware, bằng cách đảm bảo khởi động an toàn thông qua chứng thực mức trình quản lý máy ảo (hypervisor) và khởi động an toàn (Dynamic Root of Trust). Đây là 2 tính năng mặc định trong máy tính bảo mật lõi (Secured-core PC).
Mới đây, Microsoft cho biết hãng đã tăng cường các biện pháp bảo vệ bằng việc bổ sung công cụ quét UEFI cho Microsoft Defender ATP, giúp cho việc quét firmware phổ biến hơn.
Tận dụng kiến thức chuyên sâu từ các đối tác sản xuất chipset, trình quét UEFI được tích hợp trong giải pháp chống virus tích hợp trên Windows 10 và cho phép Microsoft Defender ATP quét hệ thống tập tin firmware và thực hiện đánh giá bảo mật.
Là thứ thay thế cho BIOS, UEFI không thể được truy cập một cách bình thường từ cấp độ hệ điều hành và bất kỳ thứ gì cấy vào trong đó đều khó được phát hiện. Tuy nhiên, Microsoft nói rằng nếu UEFI được cấu hình đúng và khởi động an toàn được bật, thì firmware sẽ được bảo mật tương đối. Tuy nhiên, những kẻ tấn công có thể thay đổi trình điều khiển UEFI hoặc sửa đổi firmware nhằm mục đích kiểm soát các thiết bị.
Microsoft giải thích rằng, khi khởi động, trình quét UEFI tương tác với chipset bo mạch chủ để đọc hệ thống tập tin firmware, do đó cho phép nó kiểm tra nội dung firmware.
Giải pháp thực hiện việc phân tích động bằng cách sử dụng các thành phần như bộ chống rootkit UEFI, trình quét hệ thống tệp đầy đủ (phân tích nội dung firmware) và engine phát hiện (để xác định những sự lợi dụng và hành vi độc hại).
Việc quét firmware được điều phối bởi các sự kiện trong thời gian thi hành như tải trình điều khiển đáng ngờ và thực hiện thông qua việc quét hệ thống định kỳ. Các phát hiện được báo cáo trong phần Protection history của Windows Security.
Những phát hiện này cũng sẽ có sẵn cho các khách hàng sử dụng Microsoft Defender ATP trong Microsoft Defender Security Center, để cho phép điều tra và phản ứng nhanh với các cuộc tấn công firmware và các hoạt động đáng ngờ ở cấp độ firmware.
Với máy quét UEFI, Microsoft Defender ATP có được tầm nhìn rộng hơn về các mối đe dọa đối với firmware - lĩnh vực mà những kẻ tấn công đang ngày càng tập trung hơn. Mức độ giám sát này cũng có sẵn trong Microsoft Threat Protection, mang đến khả năng bảo vệ liên miền rộng hơn, phối hợp các biện pháp bảo vệ trên các thiết bị, danh tính, email và ứng dụng.
Nguyễn Anh Tuấn
(theo Security Week)