Protecciones de recursos del sistema de seguridad basada en virtualización

  • Artículo

La seguridad basada en virtualización, o VBS, usa la virtualización de hardware y el hipervisor de Windows para crear un entorno virtual aislado que se convierta en la raíz de confianza del sistema operativo que supone que el kernel se puede poner en peligro. Windows usa este entorno aislado para hospedar una serie de soluciones de seguridad, proporcionándoles una mayor protección frente a vulnerabilidades en el sistema operativo y evitando el uso de vulnerabilidades malintencionadas que intentan derrotar las protecciones. VBS aplica restricciones para proteger los recursos vitales del sistema operativo y del sistema operativo, o para proteger los recursos de seguridad, como las credenciales de usuario autenticadas.

Para obtener más información sobre VBS, consulte Seguridad basada en virtualización (VBS).

VBS cambia el modelo de confianza

Aunque VBS mejora considerablemente la seguridad de la plataforma, VBS también cambia los límites de confianza en un equipo Windows. Con VBS, el hipervisor de Windows controla muchos aspectos del hardware subyacente que proporcionan la base para el entorno seguro de VBS. El hipervisor debe suponer que el kernel de Windows podría verse comprometido por código malintencionado, por lo que debe proteger los recursos clave del sistema de ser manipulados desde el código que se ejecuta en modo kernel de una manera que pueda poner en peligro los recursos de seguridad.

Descripción de las MSR del procesador

Un área de los recursos vitales del sistema que el hipervisor debe proteger contra el uso malintencionado es registros específicos del modelo de procesador o MSR. Los procesadores modernos admiten un gran número de MSR, muchos de los cuales controlan aspectos clave del comportamiento del procesador. Las MSR solo se pueden leer o escribir en el código en modo kernel (es decir, CPL0). La modificación de la configuración controlada por MSR podría permitir que el código del modo kernel malintencionado cambie el comportamiento del sistema y permita que un atacante obtenga control, lo que pone en peligro la seguridad. Además, muchos MSR contienen datos sobre la operación del sistema, como el seguimiento o los datos de diagnóstico, que también se pueden usar para revelar o calcular recursos de seguridad. Por lo tanto, el hipervisor debe identificar y proteger contra el uso indebido de las MSR que podrían poner en peligro la posición de seguridad de VBS.

Se accede a msr a través de un índice, que es un identificador único por MSR. Históricamente, muchos MSR se han establecido como arquitectónicos; es decir, su presencia y función siguen siendo coherentes con la arquitectura en varias generaciones de procesadores. En este caso, se puede confiar en un msr conocido con un índice y una definición de MSR documentados para controlar un conjunto conocido de funcionalidades publicadas. Sin embargo, también hay MSR que varían entre procesadores y hay casos en los que los índices MSR se han vuelto a usar con el tiempo, por lo que se vuelven a definir para hacer referencia a nuevos conjuntos de controles. Estos son muy problemáticos para el software de nivel de sistema, ya que es difícil codificar y mantener el conocimiento de estos controles en software comercial ampliamente disponible.

Protección del acceso a msr

Para proporcionar una plataforma de seguridad sólida, las MSR deben protegerse contra el uso incorrecto del código de modo kernel malintencionado. Para aplicar esto, el hipervisor supervisa y controla el acceso a todas las MSR. El hipervisor mantiene una lista de índices conocidos de MSR y solo permitirá que el código del modo kernel acceda a MSR, o bits específicos dentro de MSR, que se sabe que son razonables y se consideran seguros. El hipervisor bloqueará el acceso a cualquier MSR que sea desconocido para el hipervisor o cualquier MSR que se conozca a través de su definición publicada para representar un riesgo de seguridad. En algunos casos, se puede permitir el acceso parcial.

Cuando el hipervisor ha bloqueado el acceso a un MSR, registrará un evento en el inicio de sesión del sistema de Windows en Visor de eventos, especificando los detalles del acceso intentado.

Dada la gran cantidad de funciones controladas por MSR, no es posible predecir los efectos secundarios de impedir el acceso de MSR al software que lo inició. El software bien escrito debe controlar los errores y los casos de error correctamente, pero esto no siempre es el caso.

Revisión de eventos de acceso de MSR

El hipervisor solo bloqueará el acceso a determinados MSR cuando VBS esté habilitado y en ejecución. Para determinar si el hipervisor ha bloqueado el acceso a un MSR, busque en el registro del sistema de Windows el identificador de evento 12550 del hipervisor Microsoft-Windows-Hyper-V-Hypervisor. Los detalles de la entrada del registro de eventos contendrán la siguiente información:

Id. : 12550
Descripción: Hyper-V detectó acceso a un MSR restringido
Detalles:

  • Msr
  • IsWrite
  • MsrValue
  • AccessStatus
  • Pc
  • ImageBase
  • ImageChecksum
  • ImageTimestamp
  • ImageName

Versiones compatibles de Windows

VBS es compatible con todas las versiones de Windows a partir de Windows 10 y Windows Server 2016.