Analyse UEFI dans Defender pour point de terminaison

2025-05-01

Récemment, Microsoft Defender pour point de terminaison étendu ses fonctionnalités de protection au niveau du microprogramme avec un nouveau scanneur UEFI (Unified Extensible Firmware Interface).

Les attaques au niveau du matériel et du microprogramme ont continué d’augmenter ces dernières années, car les solutions de sécurité modernes rendaient la persistance et l’évasion de détection sur le système d’exploitation plus difficiles. Les attaquants compromettent le flux de démarrage pour obtenir un comportement de programme malveillant de bas niveau qui est difficile à détecter, ce qui représente un risque significatif pour la posture de sécurité d’un organization.

Windows Defender System Guard permet de se défendre contre les attaques de microprogramme en fournissant des garanties pour un démarrage sécurisé par le biais de fonctionnalités de sécurité matérielles telles que l’attestation au niveau de l’hyperviseur et le lancement sécurisé, également appelées racine de confiance dynamique (DRTM), qui sont activées par défaut sur les PC à cœur sécurisé. Le nouveau moteur d’analyse UEFI dans Defender pour point de terminaison étend ces protections en rendant l’analyse des microprogrammes largement disponible.

Le scanneur UEFI est un nouveau composant de la solution antivirus intégrée sur Windows 10 et versions plus récentes, et offre à Defender pour point de terminaison la possibilité unique d’analyser à l’intérieur du système de fichiers du microprogramme et d’effectuer une évaluation de la sécurité. Il intègre les insights de nos fabricants de puces partenaires et étend la protection complète des points de terminaison fournie par Defender pour point de terminaison.

Configuration requise

Microsoft Defender Antivirus comme produit antivirus principal et en mode actif. Le scanneur UEFI ne fonctionne pas avec EDR en mode bloc (avec Microsoft Defender Antivirus en mode passif).
La protection en temps réel est activée
La surveillance du comportement est activée
Les appareils exécutent une version actuelle de la plateforme antivirus Microsoft Defender
Les appareils exécutent l’une des versions suivantes de Windows :
- Windows 10, Windows 11 ou version ultérieure sur les appareils clients
- Windows Server 2019, Windows Server 2022 ou versions ultérieures
- Windows Server 2012 R2 et Windows Server 2016 avec le client Defender pour point de terminaison unifié installé

Qu’est-ce que le scanneur UEFI ?

L’interface UEFI (Unified Extensible Firmware Interface) remplace le BIOS hérité. Si le circuit microprogrammé est correctement configuré (UEFI & configuration du circuit microprogrammé lui-même) et que le démarrage sécurisé est activé, le microprogramme est raisonnablement sécurisé. Pour effectuer une attaque basée sur le matériel, les attaquants exploitent un microprogramme vulnérable ou une machine mal configurée pour déployer un rootkit, ce qui permet aux attaquants de prendre pied sur la machine.

Capture d’écran montrant le flux de démarrage attendu et le flux de démarrage compromis

Comme le montre la figure, pour les appareils qui sont correctement configurés, le chemin de démarrage de l’alimentation à l’initialisation du système d’exploitation est fiable. Si le démarrage sécurisé est désactivé ou si le circuit microprogrammé de la carte mère est mal configuré, les attaquants peuvent modifier le contenu des pilotes UEFI qui ne sont pas signés ou falsifiés dans le microprogramme. Cela pourrait permettre aux attaquants de prendre le contrôle des appareils et de leur donner la possibilité de déprécier le noyau du système d’exploitation ou l’antivirus pour reconfigurer la sécurité du microprogramme.

Initialisation de la plateforme UEFI

Le flash SPI (Serial Peripheral Interface) stocke des informations importantes. Sa structure dépend de la conception de l’OEM et inclut généralement la mise à jour du microcode du processeur, le moteur de gestion Intel (ME) et l’image de démarrage, un exécutable UEFI. Lorsqu’un ordinateur s’exécute, les processeurs exécutent le code du microprogramme à partir de SPI flash pendant un certain temps pendant la phase SEC d’UEFI. Au lieu de la mémoire, le flash est mappé de manière permanente au vecteur de réinitialisation x86 (adresse physique 0xFFFF_FFF0). Toutefois, les attaquants peuvent interférer avec l’accès à la mémoire pour réinitialiser le vecteur par logiciel. Pour ce faire, ils reprogramment le registre de contrôle BIOS sur les appareils mal configurés, ce qui complique encore la tâche du logiciel de sécurité pour déterminer exactement ce qui est exécuté au démarrage.

Une fois qu’un implant est déployé, il est difficile à détecter. Pour intercepter les menaces à ce niveau, les solutions de sécurité au niveau du système d’exploitation s’appuient sur les informations du microprogramme, mais la chaîne de confiance est affaiblie.

Techniquement, le microprogramme n’est pas stocké et n’est pas accessible à partir de main mémoire. Contrairement à d’autres logiciels, il est stocké dans le stockage flash SPI. Par conséquent, le nouveau scanneur UEFI doit suivre le protocole matériel fourni par les fabricants de matériel. Pour être compatible et être à jour avec toutes les plateformes, il doit prendre en compte les différences de protocole.

Capture d’écran montrant la vue d’ensemble des éléments internes du scanneur UEFI

Le scanneur UEFI effectue une analyse dynamique sur le microprogramme qu’il obtient à partir du stockage Flash matériel. En obtenant le microprogramme, le scanneur est en mesure d’analyser le microprogramme, ce qui permet à Defender pour point de terminaison d’inspecter le contenu du microprogramme au moment de l’exécution.

Comment activer le scanneur UEFI ?

Le nouveau scanneur UEFI est un composant de Microsoft Defender Antivirus. Par conséquent, tant qu’il s’agit de l’antivirus principal, il inclut cette fonctionnalité d’analyse et d’accès au microprogramme UEFI.

Comment gérer le scanneur UEFI ?

Il s’agit d’une fonctionnalité intégrée de Microsoft Defender Antivirus. Par conséquent, il n’y a pas de gestion supplémentaire.

Comment fonctionne le scanneur UEFI dans Defender pour point de terminaison ?

Le nouveau scanneur UEFI lit le système de fichiers du microprogramme au moment de l’exécution en interagissant avec le circuit microprogrammé de la carte mère. Pour détecter les menaces, il effectue une analyse dynamique à l’aide de plusieurs nouveaux composants de solution, notamment :

Anti-rootkit UEFI, qui atteint le microprogramme via l’interface spi (Serial Peripheral Interface)
Scanneur de système de fichiers complet, qui analyse le contenu à l’intérieur du microprogramme
Moteur de détection, qui identifie les attaques et les comportements malveillants

L’analyse du microprogramme est orchestrée par des événements d’exécution tels que le chargement suspect du pilote et par le biais d’analyses système périodiques. Les détections sont signalées dans Sécurité Windows, sous Historique de protection.

Capture d’écran montrant Sécurité Windows notification de contenu malveillant dans NVRAM

Les clients Defender pour point de terminaison peuvent voir ces détections déclenchées en tant qu’alertes dans le portail Microsoft Defender, ce qui permet aux équipes des opérations de sécurité d’examiner et de répondre aux attaques de microprogramme et aux activités suspectes au niveau du microprogramme dans leurs environnements.

Capture d’écran montrant une alerte Defender pour point de terminaison détectant du code malveillant

Pour détecter les menaces inconnues dans le flash SPI, les signaux du scanneur UEFI sont analysés afin d’identifier les anomalies et l’endroit où elles ont été exécutées. Les anomalies sont signalées au portail Microsoft Defender pour investigation.

Capture d’écran montrant l’alerte Defender pour point de terminaison pour l’implant de programme malveillant dans UEFI

Ces événements peuvent également être interrogés par le biais d’une chasse avancée, comme indiqué :

let AlertStats = AlertInfo
| where Timestamp > ago(30d)
| where ServiceSource == "Microsoft Defender for Endpoint"
| where DetectionSource == "Antivirus"
| where Title has "UEFI"
| join AlertEvidence on AlertId;
AlertStats
| join DeviceInfo on DeviceId
| distinct DeviceName, DeviceId, AlertId, Title, Severity, DetectionSource, Timestamp
| summarize Titles=makeset(Title) by DeviceName, DeviceId, bin(Timestamp, 1d)

Niveaux de sécurité complets avec des protections de bas niveau

Le nouveau scanneur UEFI s’ajoute à un ensemble complet de technologies Microsoft qui s’intègrent pour fournir une sécurité de puce à cloud, d’une racine matérielle forte de confiance aux solutions de sécurité cloud au niveau du système d’exploitation.

Les fonctionnalités de sécurité soutenues par le matériel, telles que le lancement sécurisé et l’attestation d’appareil, permettent d’arrêter les attaques de microprogramme. Ces fonctionnalités, qui sont activées par défaut dans les PC à cœur sécurisé, s’intègrent en toute transparence à Defender pour point de terminaison pour fournir une protection complète des points de terminaison.

Avec son scanneur UEFI, Defender pour point de terminaison bénéficie d’une visibilité encore plus riche sur les menaces au niveau du microprogramme, sur lequel les attaquants concentrent de plus en plus leurs efforts. Les équipes des opérations de sécurité peuvent utiliser ce nouveau niveau de visibilité, ainsi que l’ensemble complet de fonctionnalités de détection et de réponse dans Defender pour point de terminaison, pour examiner et contenir ces attaques avancées.

Ce niveau de visibilité est également disponible dans le portail Microsoft Defender, qui offre une défense inter-domaines encore plus large qui coordonne la protection entre les points de terminaison, les identités, les e-mails et les applications.