Microsoft a annoncé que sa plate-forme de sécurité de point d’extrémité d’entreprise Microsoft Defender Advanced Threat Protection (ATP) est désormais capable de détecter et de protéger les clients contre les logiciels malveillants UEFI (Unified Extensible Firmware Interface) à l’aide d’un nouveau scanner UEFI.

Cette protection intégrée contre les attaques de micrologiciel est déjà incluse dans les PC à noyau sécurisé Windows 10 depuis octobre 2019 et protège les utilisateurs de ces appareils contre les attaquants qui abusent des failles de sécurité affectant à la fois le micrologiciel et les pilotes.

« Windows Defender System Guard aide à se défendre contre les attaques de micrologiciel en offrant des garanties de démarrage sécurisé via des fonctionnalités de sécurité soutenues par le matériel comme l’attestation au niveau de l’hyperviseur et le lancement sécurisé, également connu sous le nom de Dynamic Root of Trust (DRTM), qui sont activées par défaut dans Secured- PC de base « , a déclaré Microsoft.

Un acteur de la menace connu pour abuser des vulnérabilités du micrologiciel est le groupe de menaces APT28 soutenu par la Russie (également suivi comme Tsar Team, Sednit, Fancy Bear, Strontium et Sofacy) qui a utilisé un rootkit UEFI appelé LoJax dans le cadre de certaines de ses opérations en 2018.

Le nouveau scanner UEFI, construit avec les informations des fabricants de chipsets partenaires, est un composant de la solution antivirus intégrée de Windows 10 capable d’effectuer des évaluations de sécurité après une analyse à l’intérieur du système de fichiers du firmware.

Le scanner UEFI de Microsoft Defender ATP fonctionne en lisant «le système de fichiers du micrologiciel au moment de l’exécution en interagissant avec le chipset de la carte mère» et il est déclenché automatiquement par des analyses périodiques ou lors d’événements d’exécution tels que des charges de pilotes suspectes.

Pour détecter le code malveillant du micrologiciel, le scanner UEFI utilise plusieurs composants, y compris un anti-rootkit UEFI qui scanne le firmware via le flash SPI (Serial Peripheral Interface), un scanner de système de fichiers complet pour analyser le contenu à l’intérieur du firmware, ainsi qu’un …