Compartir a través de


Examen de UEFI en Defender para punto de conexión

Recientemente, Microsoft Defender para punto de conexión ampliado sus capacidades de protección al nivel de firmware con un nuevo escáner unified extensible firmware interface (UEFI).

Los ataques de nivel de hardware y firmware han seguido aumentando en los últimos años, a medida que las soluciones de seguridad modernas dificultaban la persistencia y la evasión de detección en el sistema operativo. Los atacantes ponen en peligro el flujo de arranque para lograr un comportamiento de malware de bajo nivel difícil de detectar, lo que supone un riesgo significativo para la posición de seguridad de una organización.

Windows Defender Protección del sistema ayuda a defenderse frente a ataques de firmware al proporcionar garantías de arranque seguro a través de características de seguridad respaldadas por hardware, como la atestación de nivel de hipervisor y el inicio seguro, también conocidas como raíz dinámica de confianza (DRTM), que están habilitadas de forma predeterminada en los equipos de núcleo protegido. El nuevo motor de examen UEFI de Defender para punto de conexión se expande en estas protecciones haciendo que el examen de firmware esté disponible ampliamente.

El escáner UEFI es un nuevo componente de la solución antivirus integrada en Windows 10 y versiones más recientes, y ofrece a Defender para punto de conexión la capacidad única de examinar dentro del sistema de archivos de firmware y realizar una evaluación de seguridad. Integra información de nuestros fabricantes de conjuntos de chips asociados y amplía aún más la protección completa de puntos de conexión proporcionada por Defender para punto de conexión.

Requisitos previos

¿Qué es el escáner UEFI?

La interfaz de firmware extensible unificada (UEFI) es un reemplazo del BIOS heredado. Si el chipset está configurado correctamente (UEFI & propia configuración del chipset) y el arranque seguro está habilitado, el firmware es razonablemente seguro. Para realizar un ataque basado en hardware, los atacantes aprovechan un firmware vulnerable o una máquina mal configurada para implementar un rootkit, lo que permite a los atacantes ganar posición en la máquina.

Captura de pantalla que muestra el flujo de arranque esperado frente al flujo de arranque en peligro

Como se muestra en la ilustración, para los dispositivos que están configurados correctamente, la ruta de arranque de la inicialización del sistema operativo es confiable. Si el arranque seguro está deshabilitado o si el chipset de la placa base está mal configurado, los atacantes pueden cambiar el contenido de los controladores UEFI que no están firmados o manipulados en el firmware. Esto podría permitir a los atacantes tomar el control de los dispositivos y darles la capacidad de privar el kernel del sistema operativo o el antivirus para volver a configurar la seguridad del firmware.

Inicialización de la plataforma UEFI

El flash de la interfaz periférica serie (SPI) almacena información importante. Su estructura depende del diseño del OEM e incluye normalmente la actualización del microcódigo del procesador, el Motor de administración de Intel (ME) y la imagen de arranque, un ejecutable UEFI. Cuando se ejecuta un equipo, los procesadores ejecutan el código de firmware desde el flash SPI durante un tiempo durante la fase sec de UEFI. En lugar de memoria, el flash se asigna permanentemente al vector de restablecimiento x86 (dirección física 0xFFFF_FFF0). Sin embargo, los atacantes pueden interferir con el acceso a la memoria para restablecer el vector por software. Para ello, reprograman el registro de control de BIOS en dispositivos mal configurados, lo que dificulta aún más que el software de seguridad determine exactamente qué se ejecuta durante el arranque.

Una vez implementado un implante, es difícil de detectar. Para detectar amenazas en este nivel, las soluciones de seguridad en el nivel de sistema operativo se basan en la información del firmware, pero la cadena de confianza se debilita.

Técnicamente, el firmware no se almacena y no es accesible desde la memoria principal. A diferencia de otro software, se almacena en almacenamiento flash SPI, por lo que el nuevo escáner UEFI debe seguir el protocolo de hardware proporcionado por los fabricantes de hardware. Para ser compatible y estar actualizado con todas las plataformas, debe tener en cuenta las diferencias de protocolo.

Captura de pantalla que muestra información general sobre los aspectos internos del escáner UEFI

El escáner UEFI realiza un análisis dinámico del firmware que obtiene del almacenamiento flash de hardware. Al obtener el firmware, el analizador puede analizar el firmware, lo que permite que Defender para punto de conexión inspeccione el contenido del firmware en tiempo de ejecución.

¿Cómo se activa el escáner UEFI?

El nuevo escáner UEFI es un componente de Microsoft Defender Antivirus, por lo que, siempre y cuando sea el antivirus principal, incluye esta funcionalidad para examinar y acceder al firmware UEFI.

¿Cómo administra el escáner UEFI?

Es una funcionalidad integrada de Microsoft Defender Antivirus. Por lo tanto, no hay ninguna administración adicional.

¿Cómo funciona el escáner UEFI en Defender para punto de conexión?

El nuevo escáner UEFI lee el sistema de archivos de firmware en tiempo de ejecución interactuando con el chipset de la placa base. Para detectar amenazas, realiza un análisis dinámico mediante varios componentes de solución nuevos que incluyen:

  • Anti-rootkit UEFI, que alcanza el firmware a través de la interfaz periférica serie (SPI)
  • Analizador de sistema de archivos completo, que analiza el contenido dentro del firmware
  • Motor de detección, que identifica vulnerabilidades de seguridad y comportamientos malintencionados

El examen de firmware se organiza mediante eventos en tiempo de ejecución, como la carga sospechosa de controladores y a través de exámenes periódicos del sistema. Las detecciones se notifican en Seguridad de Windows, en Historial de protección.

Captura de pantalla que muestra Seguridad de Windows notificación de contenido malintencionado en NVRAM

Los clientes de Defender para punto de conexión pueden ver estas detecciones desencadenadas como alertas en el portal de Microsoft Defender, lo que permite a los equipos de operaciones de seguridad investigar y responder a ataques de firmware y actividades sospechosas en el nivel de firmware en sus entornos.

Captura de pantalla que muestra la alerta de Defender para punto de conexión que detecta código malintencionado

Para detectar amenazas desconocidas en flash SPI, se analizan las señales del escáner UEFI para identificar las anomalías y dónde se han ejecutado. Las anomalías se notifican al portal de Microsoft Defender para su investigación.

Captura de pantalla que muestra la alerta de Defender para punto de conexión para el implante de malware en UEFI

Estos eventos también se pueden consultar a través de la búsqueda avanzada como se muestra:

let AlertStats = AlertInfo
| where Timestamp > ago(30d)
| where ServiceSource == "Microsoft Defender for Endpoint"
| where DetectionSource == "Antivirus"
| where Title has "UEFI"
| join AlertEvidence on AlertId;
AlertStats
| join DeviceInfo on DeviceId
| distinct DeviceName, DeviceId, AlertId, Title, Severity, DetectionSource, Timestamp
| summarize Titles=makeset(Title) by DeviceName, DeviceId, bin(Timestamp, 1d)

Niveles de seguridad completos con protecciones de bajo nivel

El nuevo escáner UEFI se suma a un amplio conjunto de tecnologías de Microsoft que se integran para ofrecer seguridad de chip a nube, desde una fuerte raíz de confianza de hardware hasta soluciones de seguridad con tecnología de nube en el nivel de sistema operativo.

Las características de seguridad respaldadas por hardware, como el inicio seguro y la atestación de dispositivos, ayudan a detener los ataques de firmware. Estas características, que están habilitadas de forma predeterminada en los equipos de núcleo protegido, se integran sin problemas con Defender para punto de conexión para proporcionar una protección completa de los puntos de conexión.

Con su escáner UEFI, Defender for Endpoint obtiene una visibilidad aún más enriquecida de las amenazas en el nivel de firmware, donde los atacantes han centrado cada vez más sus esfuerzos. Los equipos de operaciones de seguridad pueden usar este nuevo nivel de visibilidad, junto con el amplio conjunto de funcionalidades de detección y respuesta de Defender para punto de conexión, para investigar y contener estos ataques avanzados.

Este nivel de visibilidad también está disponible en el portal de Microsoft Defender, que ofrece una defensa entre dominios aún más amplia que coordina la protección entre puntos de conexión, identidades, correo electrónico y aplicaciones.