Freigeben über

UEFI-Überprüfung in Defender für Endpunkt

Vor kurzem hat Microsoft Defender for Endpoint seine Schutzfunktionen mit einem neuen UEFI-Scanner (Unified Extensible Firmware Interface) auf Firmwareebene erweitert.

Angriffe auf Hardware- und Firmwareebene haben in den letzten Jahren weiter zugenommen, da moderne Sicherheitslösungen die Persistenz und Erkennungshinterziehung auf dem Betriebssystem erschwerten. Angreifer kompromittieren den Startflow, um ein verhalten von Schadsoftware auf niedriger Ebene zu erreichen, das schwer zu erkennen ist und ein erhebliches Risiko für den Sicherheitsstatus eines organization darstellt.

Windows Defender Systemüberwachung hilft beim Schutz vor Firmwareangriffen, indem garantien für einen sicheren Start durch hardwaregestützte Sicherheitsfeatures wie Nachweis auf Hypervisorebene und Sicherer Start, auch als Dynamic Root of Trust (DRTM) bezeichnet, bereitgestellt werden, die auf Secured-Core-PCs standardmäßig aktiviert sind. Die neue UEFI-Scan-Engine in Defender für Endpunkt erweitert diese Schutzmaßnahmen, indem die Firmwareüberprüfung allgemein verfügbar gemacht wird.

Der UEFI-Scanner ist eine neue Komponente der integrierten Antivirenlösung für Windows 10 und neuere Versionen und bietet Defender für Endpunkt die einzigartige Möglichkeit, innerhalb des Firmwaredateisystems zu scannen und eine Sicherheitsbewertung durchzuführen. Es integriert Erkenntnisse von unseren Partner-Chipsatzherstellern und erweitert den umfassenden Endpunktschutz von Defender für Endpunkt.

Voraussetzungen

Was ist der UEFI-Scanner?

Die Unified Extensible Firmware Interface (UEFI) ist ein Ersatz für legacy BIOS. Wenn der Chipsatz ordnungsgemäß konfiguriert ist (UEFI & Chipsatzkonfiguration selbst) und der sichere Start aktiviert ist, ist die Firmware angemessen sicher. Um einen hardwarebasierten Angriff auszuführen, nutzen Angreifer eine anfällige Firmware oder einen falsch konfigurierten Computer aus, um ein Rootkit bereitzustellen, wodurch Angreifer Auf dem Computer Fuß fassen können.

Screenshot: Erwarteter Startflow im Vergleich zu einem kompromittierten Startflow

Wie die Abbildung zeigt, ist der Startpfad für ordnungsgemäß konfigurierte Geräte vom Einschalten zur Betriebssysteminitialisierung zuverlässig. Wenn der sichere Start deaktiviert ist oder der Motherboard-Chipsatz falsch konfiguriert ist, können Angreifer den Inhalt von UEFI-Treibern ändern, die in der Firmware nicht signiert oder manipuliert sind. Dies könnte es Angreifern ermöglichen, die Kontrolle über Geräte zu übernehmen und ihnen die Möglichkeit zu geben, den Betriebssystemkernels oder Antivirus zu entprivilegieren, um die Sicherheit der Firmware neu zu konfigurieren.

Initialisierung der UEFI-Plattform

Der SPI-Flash (Serial Peripheral Interface) speichert wichtige Informationen. Seine Struktur hängt vom OEM-Design ab und umfasst häufig ein Prozessor-Microcodeupdate, intel Management Engine (ME) und ein Startimage, eine ausführbare UEFI-Datei. Wenn ein Computer ausgeführt wird, führen Prozessoren den Firmwarecode während der SEC-Phase von UEFI für eine Weile aus DEM SPI-Flash aus. Anstelle des Speichers wird der Flash dauerhaft dem x86-Zurücksetzungsvektor (physische Adresse 0xFFFF_FFF0) zugeordnet. Angreifer können jedoch den Speicherzugriff zum Zurücksetzen des Vektors durch Software beeinträchtigen. Dazu programmieren sie das BIOS-Steuerregister auf falsch konfigurierten Geräten neu, wodurch es für Sicherheitssoftware noch schwieriger wird, genau zu bestimmen, was beim Start ausgeführt wird.

Sobald ein Implantat bereitgestellt wurde, ist es schwer zu erkennen. Um Bedrohungen auf dieser Ebene abzufangen, basieren Sicherheitslösungen auf Betriebssystemebene auf Informationen aus der Firmware, aber die Vertrauenskette ist geschwächt.

Technisch gesehen ist die Firmware nicht gespeichert und nicht über Standard Arbeitsspeicher zugänglich. Im Gegensatz zu anderer Software wird sie im SPI-Flashspeicher gespeichert, sodass der neue UEFI-Scanner dem Hardwareprotokoll entsprechen muss, das von Hardwareherstellern bereitgestellt wird. Um mit allen Plattformen kompatibel und auf dem neuesten Stand zu sein, müssen Protokollunterschiede berücksichtigt werden.

Screenshot: Übersicht über die internen UEFI-Überprüfungen

Der UEFI-Scanner führt eine dynamische Analyse der Firmware durch, die aus dem Hardware-Flashspeicher abgerufen wird. Durch Abrufen der Firmware kann der Scanner die Firmware analysieren, sodass Defender für Endpunkt den Firmwareinhalt zur Laufzeit überprüfen kann.

Wie aktivieren Sie den UEFI-Scanner?

Der neue UEFI-Scanner ist eine Komponente von Microsoft Defender Antivirus. Solange es sich also um den primären AV handelt, enthält er diese Funktion zum Scannen und Zugreifen auf UEFI-Firmware.

Wie verwalten Sie den UEFI-Scanner?

Es handelt sich um eine integrierte Funktionalität von Microsoft Defender Antivirus. Daher gibt es keine zusätzliche Verwaltung.

Wie funktioniert der UEFI-Scanner in Defender für Endpunkt?

Der neue UEFI-Scanner liest das Firmware-Dateisystem zur Laufzeit durch Interaktion mit dem Motherboard-Chipsatz. Um Bedrohungen zu erkennen, führt es eine dynamische Analyse mit mehreren neuen Lösungskomponenten durch, die Folgendes umfassen:

  • UEFI-Anti-Rootkit, das die Firmware über serial peripheral interface (SPI) erreicht
  • Vollständiger Dateisystemscanner, der Inhalte innerhalb der Firmware analysiert
  • Erkennungs-Engine, die Exploits und schädliche Verhaltensweisen identifiziert

Die Firmwareüberprüfung wird durch Laufzeitereignisse wie verdächtiges Laden des Treibers und durch regelmäßige Systemscans orchestriert. Erkennungen werden in Windows-Sicherheit unter Schutzverlauf gemeldet.

Screenshot: Windows-Sicherheit Benachrichtigung für schädliche Inhalte im NVRAM

Defender für Endpunkt-Kunden können diese Erkennungen im Microsoft Defender-Portal als Warnungen sehen, soweit sie es Sicherheitsteams ermöglichen, Firmwareangriffe und verdächtige Aktivitäten auf Firmwareebene in ihren Umgebungen zu untersuchen und darauf zu reagieren.

Screenshot: Defender für Endpunkt-Warnung zur Erkennung von schadhaftem Code

Um unbekannte Bedrohungen im SPI-Flash zu erkennen, werden Signale des UEFI-Scanners analysiert, um Anomalien zu identifizieren und zu ermitteln, wo sie ausgeführt wurden. Anomalien werden zur Untersuchung an das Microsoft Defender-Portal gemeldet.

Screenshot: Defender für Endpunkt-Warnung für malware implant in UEFI

Diese Ereignisse können ebenfalls über die erweiterte Suche abgefragt werden, wie gezeigt:

let AlertStats = AlertInfo
| where Timestamp > ago(30d)
| where ServiceSource == "Microsoft Defender for Endpoint"
| where DetectionSource == "Antivirus"
| where Title has "UEFI"
| join AlertEvidence on AlertId;
AlertStats
| join DeviceInfo on DeviceId
| distinct DeviceName, DeviceId, AlertId, Title, Severity, DetectionSource, Timestamp
| summarize Titles=makeset(Title) by DeviceName, DeviceId, bin(Timestamp, 1d)

Umfassende Sicherheitsstufen nach oben mit Low-Level-Schutz

Der neue UEFI-Scanner ergänzt eine Vielzahl von Microsoft-Technologien, die integriert werden, um Chip-to-Cloud-Sicherheit zu bieten, von einem starken Hardwarevertrauensstamm bis hin zu cloudbasierten Sicherheitslösungen auf Betriebssystemebene.

Hardware-basierte Sicherheitsfeatures wie sicherer Start und Gerätenachweis helfen dabei, Firmwareangriffe zu stoppen. Diese Features, die standardmäßig in Secured-Core-PCs aktiviert sind, lassen sich nahtlos in Defender für Endpunkt integrieren, um umfassenden Endpunktschutz zu bieten.

Mit dem UEFI-Scanner erhält Defender für Endpunkt noch umfassendere Einblicke in Bedrohungen auf Firmwareebene, auf die sich Angreifer zunehmend konzentrieren. Sicherheitsteams können diese neue Sichtbarkeitsebene zusammen mit den umfangreichen Erkennungs- und Reaktionsfunktionen in Defender für Endpunkt nutzen, um solche erweiterten Angriffe zu untersuchen und einzudämmen.

Diese Sichtbarkeitsebene ist auch im Microsoft Defender-Portal verfügbar, das eine noch umfassendere domänenübergreifende Verteidigung bietet, die den Schutz über Endpunkte, Identitäten, E-Mails und Apps hinweg koordiniert.