Microsoft ontwerpt 'secured-core pc' tegen firmware-aanvallen

[Captain Kirk]

Microsoft heeft samen met chip- en computerfabrikanten de 'secured-core pc' ontworpen die beter tegen firmware-aanvallen bestand zou moeten zijn. Firmware wordt gebruikt om de hardware en andere software op de computer te initialiseren en heeft hogere rechten dan de hypervisor en kernel van het besturingssysteem. Het is daardoor een aantrekkelijk doelwit voor aanvallers, aldus Microsoft.

In het verleden zijn er ook aanvallen waargenomen waarbij aanvallers misbruik van firmwarekwetsbaarheden maakten. Met Windows 8 lanceerde Microsoft 'Secure Boot' om tegen aangepaste bootloaders en rootkits te beschermen. Aangezien firmware al wordt vertrouwd om de bootloader te vertrouwen, beschermt het niet tegen aanvallen die misbruik van kwetsbaarheden in de firmware maken.

De secured-core pc moet dergelijke aanvallen voorkomen. Deze computers moeten onder andere Windows Defender System Guard Secure Launch implementeren. Hierbij wordt er gebruik gemaakt van een technologie genaamd Dynamic Root of Trust for Measurement (DRTM). DRTM laat het systeem booten met niet vertrouwde code, maar kort na de start wordt het systeem in een "vertrouwde staat" geladen. Hiervoor draagt DRTM de besturing via een beveiligde en gemeten overdracht rechtstreeks over van de processor aan de Windows hypervisor loader.

Hierdoor kan niet vertrouwde UEFI-code het systeem booten, maar vindt er daarna een transitie naar een vertrouwde en meetbare staat plaats. DRTM beperkt zo het vertrouwen dat aan firmware wordt toegekend en zou zo bescherming tegen firmware-aanvallen moeten bieden. Zodra de Windows hypervisor veilig opgestart is in een modus die door hardware is gemeten, wordt de op virtualisatie gebaseerde beveiliging (VBS)-omgeving in het geheugen aangemaakt om belangrijke sleutels en processen te isoleren van het reguliere Windows-besturingssysteem dat nog moet worden gestart.

"Het kunnen meten dat de computer veilig is geboot is een ander belangrijk onderdeel van deze aanvullende beveiligingslaag tegen firmware-aanvallen waarmee beheerders weten dat hun endpoints veilig zijn", stelt Microsoft. Naast Secure Launch maakt Windows 10 ook gebruik van de System Management Mode (SMM) om de functionaliteit van potentieel gevaarlijke firmware te monitoren en beperken wanneer het besturingssysteem actief is. Andere aanwezige beveiligingsmaatregelen van secured-core pc's zijn hardware-gebaseerde beveiligingsonderdelen zoals Trusted Platform Module 2.0 (TPM) en Windows hypervisor code integrity (HVCI).

Volgens David Weston van Microsoft zijn secured-core pc's speciaal ontworpen voor specifieke sectoren, zoals financiële instellingen, overheid, gezondheidszorg en personen die met intellectueel eigendom of gevoelige persoonsgegevens werken. Verschillende fabrikanten, waaronder Dell, Dynabook, Lenovo en Panasonic, bieden secured-core pc's aan.

 

 

bron: security.nl