فحص UEFI في Defender لنقطة النهاية

2025-05-01

في الآونة الأخيرة، وسعت Microsoft Defender لنقطة النهاية قدرات الحماية الخاصة بها إلى مستوى البرامج الثابتة باستخدام ماسح ضوئي جديد لواجهة البرامج الثابتة الموسعة (UEFI).

استمرت الهجمات على مستوى الأجهزة والبرامج الثابتة في الارتفاع في السنوات الأخيرة، حيث جعلت الحلول الأمنية الحديثة الاستمرار والتهرب من الكشف عن الهجمات على نظام التشغيل أكثر صعوبة. يخترق المهاجمون تدفق التمهيد لتحقيق سلوك برامج ضارة منخفض المستوى يصعب اكتشافه، ما يشكل خطرا كبيرا على الوضع الأمني للمؤسسة.

يساعد Windows Defender حماية النظام في الدفاع ضد هجمات البرامج الثابتة من خلال توفير ضمانات للتمهيد الآمن من خلال ميزات الأمان المدعومة بالأجهزة مثل التصديق على مستوى hypervisor والتشغيل الآمن، والمعروف أيضا باسم الجذر الديناميكي للثقة (DRTM)، والتي يتم تمكينها افتراضيا في أجهزة الكمبيوتر الشخصية ذات الذاكرة الأساسية الآمنة. يتوسع محرك فحص UEFI الجديد في Defender for Endpoint على هذه الحماية من خلال إتاحة فحص البرامج الثابتة على نطاق واسع.

الماسح الضوئي UEFI هو مكون جديد من حل مكافحة الفيروسات المضمن على Windows 10 والإصدارات الأحدث، ويعطي Defender لنقطة النهاية القدرة الفريدة على الفحص داخل نظام ملفات البرامج الثابتة وإجراء تقييم الأمان. وهو يدمج الرؤى من الشركات المصنعة لمجموعة شرائح شركائنا ويوسع حماية نقطة النهاية الشاملة التي يوفرها Defender لنقطة النهاية.

المتطلبات الأساسية

Microsoft Defender مكافحة الفيروسات كمنتج مكافحة الفيروسات الأساسي وفي الوضع النشط. لا يعمل ماسح UEFI الضوئي مع EDR في وضع الحظر (مع Microsoft Defender مكافحة الفيروسات في الوضع السلبي).
تم تشغيل الحماية في الوقت الحقيقي
تم تشغيل مراقبة السلوك
تقوم الأجهزة بتشغيل إصدار النظام الأساسي الحالي للحماية من الفيروسات Microsoft Defender
تعمل الأجهزة بأحد الإصدارات التالية من Windows:
- Windows 10 أو Windows 11 أو أحدث على أجهزة العميل
- Windows Server 2019 أو Windows Server 2022 أو إصدارات أحدث
- Windows Server 2012 R2 و Windows Server 2016 مع تثبيت عميل Defender لنقطة النهاية الموحد

ما هو الماسح الضوئي UEFI؟

تعد واجهة البرامج الثابتة الموسعة الموحدة (UEFI) بديلا ل BIOS القديم. إذا تم تكوين مجموعة الشرائح بشكل صحيح (UEFI & تكوين مجموعة شرائح نفسها) وتم تمكين التمهيد الآمن ، يكون البرنامج الثابت آمنا بشكل معقول. لتنفيذ هجوم يستند إلى الأجهزة، يستغل المهاجمون برنامج ثابت ضعيف أو جهازا تم تكوينه بشكل خاطئ لنشر rootkit، ما يسمح للمهاجمين بالحصول على موطئ قدم على الجهاز.

لقطة شاشة تعرض تدفق التمهيد المتوقع مقابل تدفق التمهيد المخترق

كما يظهر الشكل، بالنسبة للأجهزة التي تم تكوينها بشكل صحيح، يكون مسار التمهيد من التشغيل إلى تهيئة نظام التشغيل موثوقا به. إذا تم تعطيل التمهيد الآمن أو إذا تم تكوين مجموعة شرائح اللوحة الأم بشكل خاطئ، يمكن للمهاجمين تغيير محتويات برامج تشغيل UEFI غير الموقعة أو التي تم العبث بها في البرنامج الثابت. قد يسمح هذا للمهاجمين بالتحكم في الأجهزة ومنحهم القدرة على حرمان نواة نظام التشغيل أو برنامج الحماية من الفيروسات لإعادة تكوين أمان البرنامج الثابت.

تهيئة النظام الأساسي ل UEFI

يخزن فلاش الواجهة الطرفية التسلسلية (SPI) معلومات مهمة. تعتمد بنيته على تصميم الشركة المصنعة للمعدات الأصلية، وتتضمن عادة تحديث التعليمات البرمجية المصغرة للمعالج ومحرك إدارة Intel (ME) وصورة التمهيد، وهي قابلة للتنفيذ من UEFI. عند تشغيل جهاز كمبيوتر، تنفذ المعالجات التعليمات البرمجية للبرامج الثابتة من SPI flash لفترة من الوقت أثناء مرحلة SEC ل UEFI. بدلا من الذاكرة، يتم تعيين الفلاش بشكل دائم إلى متجه إعادة تعيين x86 (العنوان الفعلي 0xFFFF_FFF0). ومع ذلك، يمكن للمهاجمين التداخل مع الوصول إلى الذاكرة لإعادة تعيين المتجه حسب البرنامج. يفعلون ذلك عن طريق إعادة برمجة سجل التحكم BIOS على الأجهزة التي تم تكوينها بشكل خاطئ، ما يجعل من الصعب على برامج الأمان تحديد ما يتم تنفيذه بالضبط أثناء التمهيد.

بمجرد توزيع الزرع، من الصعب اكتشافه. للقبض على التهديدات على هذا المستوى، تعتمد الحلول الأمنية على مستوى نظام التشغيل على معلومات من البرنامج الثابت، ولكن تضعف سلسلة الثقة.

من الناحية الفنية، لا يتم تخزين البرنامج الثابت ولا يمكن الوصول إليه من الذاكرة الرئيسية. على عكس البرامج الأخرى، يتم تخزينها في تخزين فلاش SPI، لذلك يجب أن يتبع الماسح الضوئي UEFI الجديد بروتوكول الأجهزة الذي توفره الشركات المصنعة للأجهزة. لكي تكون متوافقة ومحدثة مع جميع الأنظمة الأساسية، يجب أن تأخذ في الاعتبار اختلافات البروتوكول.

لقطة شاشة تعرض نظرة عامة على الداخليات للماسح الضوئي UEFI

يقوم الماسح الضوئي UEFI بإجراء تحليل ديناميكي على البرنامج الثابت الذي يحصل عليه من تخزين الأجهزة الفلاش. من خلال الحصول على البرنامج الثابت، يكون الماسح الضوئي قادرا على تحليل البرنامج الثابت، ما يمكن Defender لنقطة النهاية من فحص محتوى البرنامج الثابت في وقت التشغيل.

كيف يمكنك تشغيل الماسح الضوئي UEFI؟

الماسح الضوئي UEFI الجديد هو مكون من Microsoft Defender مكافحة الفيروسات، وبالتالي، طالما أنه AV الأساسي، فإنه يتضمن هذه القدرة على مسح البرامج الثابتة UEFI والوصول إليها.

كيف يمكنك إدارة الماسح الضوئي UEFI؟

إنها وظيفة مضمنة في برنامج الحماية من الفيروسات Microsoft Defender. وبالتالي، لا توجد إدارة إضافية.

كيف يعمل الماسح الضوئي UEFI في Defender لنقطة النهاية؟

يقرأ الماسح الضوئي UEFI الجديد نظام ملفات البرامج الثابتة في وقت التشغيل من خلال التفاعل مع مجموعة شرائح اللوحة الأم. للكشف عن التهديدات، يقوم بإجراء تحليل ديناميكي باستخدام مكونات حل جديدة متعددة تتضمن:

UEFI anti-rootkit، الذي يصل إلى البرنامج الثابت من خلال الواجهة الطرفية التسلسلية (SPI)
ماسح ضوئي كامل لنظام الملفات، والذي يحلل المحتوى داخل البرنامج الثابت
محرك الكشف، الذي يحدد عمليات الاستغلال والسلوكيات الضارة

يتم تنسيق فحص البرامج الثابتة بواسطة أحداث وقت التشغيل مثل تحميل برنامج التشغيل المشبوه ومن خلال عمليات فحص النظام الدورية. يتم الإبلاغ عن عمليات الكشف في أمن Windows، ضمن محفوظات الحماية.

لقطة شاشة تعرض إعلاما أمن Windows للمحتوى الضار في NVRAM

يمكن لعملاء Defender لنقطة النهاية رؤية هذه الاكتشافات التي تم رفعها كتنبيهات في مدخل Microsoft Defender، ما يمكن فرق عمليات الأمان من التحقيق في هجمات البرامج الثابتة والأنشطة المشبوهة والاستجابة لها على مستوى البرامج الثابتة في بيئاتهم.

لقطة شاشة تعرض تنبيه Defender لنقطة النهاية للكشف عن التعليمات البرمجية الضارة

للكشف عن التهديدات غير المعروفة في فلاش SPI، يتم تحليل الإشارات من الماسح الضوئي UEFI لتحديد الحالات الشاذة ومكان تنفيذها. يتم الإبلاغ عن الحالات الشاذة إلى مدخل Microsoft Defender للتحقيق.

لقطة شاشة تعرض تنبيه Defender لنقطة النهاية لزرع البرامج الضارة في UEFI

يمكن الاستعلام عن هذه الأحداث بالمثل من خلال التتبع المتقدم كما هو موضح:

let AlertStats = AlertInfo
| where Timestamp > ago(30d)
| where ServiceSource == "Microsoft Defender for Endpoint"
| where DetectionSource == "Antivirus"
| where Title has "UEFI"
| join AlertEvidence on AlertId;
AlertStats
| join DeviceInfo on DeviceId
| distinct DeviceName, DeviceId, AlertId, Title, Severity, DetectionSource, Timestamp
| summarize Titles=makeset(Title) by DeviceName, DeviceId, bin(Timestamp, 1d)

مستويات أمان شاملة مع حماية منخفضة المستوى

يضيف الماسح الضوئي UEFI الجديد إلى مجموعة غنية من تقنيات Microsoft التي تتكامل لتقديم أمان من شريحة إلى سحابة، من جذر قوي للثقة في الأجهزة إلى حلول الأمان المدعومة بالسحابة على مستوى نظام التشغيل.

تساعد ميزات الأمان المدعومة من الأجهزة مثل Secure Launch وإثبات الجهاز على إيقاف هجمات البرامج الثابتة. تتكامل هذه الميزات، التي يتم تمكينها افتراضيا في أجهزة الكمبيوتر الشخصية الآمنة الأساسية، بسلاسة مع Defender لنقطة النهاية لتوفير حماية شاملة لنقطة النهاية.

مع الماسح الضوئي UEFI الخاص به، يحصل Defender for Endpoint على رؤية أكثر ثراء للتهديدات على مستوى البرامج الثابتة، حيث يركز المهاجمون جهودهم بشكل متزايد على. يمكن لفرق عمليات الأمان استخدام هذا المستوى الجديد من الرؤية، جنبا إلى جنب مع مجموعة غنية من قدرات الكشف والاستجابة في Defender لنقطة النهاية، للتحقيق في مثل هذه الهجمات المتقدمة واحتوائها.

يتوفر هذا المستوى من الرؤية أيضا في مدخل Microsoft Defender، والذي يوفر دفاعا أوسع عبر المجالات ينسق الحماية عبر نقاط النهاية والهويات والبريد الإلكتروني والتطبيقات.