最近では、Microsoft Defender for Endpoint新しい Unified Extensible Firmware Interface (UEFI) スキャナーを使用して、保護機能をファームウェア レベルに拡張しました。
最新のセキュリティ ソリューションにより、オペレーティング システムの永続化と検出回避が困難になったので、ハードウェアとファームウェアレベルの攻撃は近年増加し続けています。 攻撃者はブート フローを侵害して、検出が困難な低レベルのマルウェアの動作を実現し、organizationのセキュリティ体制に重大なリスクを与えます。
Windows Defender System Guardは、ハイパーバイザー レベルの構成証明やセキュリティで保護された起動 (動的信頼ルート (DRTM) とも呼ばれる) などのハードウェアでサポートされるセキュリティ機能を通じて、セキュリティで保護されたブートの保証を提供することで、ファームウェア攻撃から防御するのに役立ちます。これは、セキュリティで保護されたコア PC で既定で有効になっています。 Defender for Endpoint の新しい UEFI スキャン エンジンは、ファームウェア スキャンを広く利用できるようにすることで、これらの保護を強化します。
UEFI スキャナーは、Windows 10以降のバージョンの組み込みウイルス対策ソリューションの新しいコンポーネントであり、Defender for Endpoint にファームウェア ファイルシステム内をスキャンしてセキュリティ評価を実行する独自の機能を提供します。 パートナーチップセットメーカーの分析情報を統合し、Defender for Endpoint によって提供される包括的なエンドポイント保護をさらに強化します。
前提条件
- Microsoft Defenderウイルス対策をプライマリ ウイルス対策製品として、アクティブ モードで使用します。 UEFI スキャナーはブロック モードの EDR では機能しません (パッシブ モードでは Microsoft Defender ウイルス対策)。
- リアルタイム保護 が有効になっている
- 動作の監視 が有効になっている
- デバイスが現在のMicrosoft Defenderウイルス対策プラットフォーム バージョンを実行している
- デバイスは、次のいずれかのバージョンの Windows を実行しています。
- クライアント デバイスでのWindows 10、Windows 11以降
- Windows Server 2019、Windows Server 2022 以降のバージョン
- 統合された Defender for Endpoint クライアントがインストールされている R2 とWindows Server 2016をWindows Server 2012する
UEFI スキャナーとは
統合拡張ファームウェア インターフェイス (UEFI) は、 従来の BIOS に代わるものです。 チップセットが正しく構成されていて (UEFI & チップセット構成自体)、 セキュア ブート が有効になっている場合、ファームウェアは合理的に安全です。 ハードウェアベースの攻撃を実行するために、攻撃者は脆弱なファームウェアまたは正しく構成されていないマシンを悪用して ルートキットをデプロイします。これにより、攻撃者はマシンに足がかりを得ることができます。
図に示すように、 正しく構成されているデバイスの場合、電源投入から OS の初期化までのブート パスは信頼できます。 セキュア ブートが無効になっている場合、またはマザーボード チップセットが正しく構成されていない場合、攻撃者はファームウェアで署名されていない、または改ざんされた UEFI ドライバーの内容を変更できます。 これにより、攻撃者がデバイスの制御を引き継ぎ、オペレーティング システムのカーネルまたはウイルス対策を奪ってファームウェアのセキュリティを再構成する機能を提供する可能性があります。
シリアル周辺機器インターフェイス (SPI) フラッシュには、重要な情報が格納されます。 その構造は OEM の設計に依存し、一般にプロセッサ マイクロコード更新プログラム、Intel Management Engine (ME)、ブート イメージ (UEFI 実行可能ファイル) が含まれます。 コンピューターを実行すると、プロセッサは UEFI の SEC フェーズ中に SPI フラッシュからファームウェア コードを実行します。 メモリの代わりに、フラッシュはx86リセットベクトル(物理アドレス0xFFFF_FFF0)に永続的にマップされます。 ただし、攻撃者は、ソフトウェアによってベクターをリセットするためのメモリ アクセスを妨げる可能性があります。 これを行うには、誤って構成されたデバイスで BIOS コントロール レジスタを再プログラミングし、セキュリティ ソフトウェアがブート中に実行される内容を正確に判断することがさらに困難になります。
インプラントがデプロイされると、検出するのが難しくなります。 このレベルの脅威をキャッチするために、OS レベルのセキュリティ ソリューションはファームウェアからの情報に依存しますが、信頼のチェーンは弱体化しています。
技術的には、ファームウェアは格納されておらず、メインメモリからアクセスできません。 他のソフトウェアとは対照的に、SPI フラッシュ ストレージに格納されるため、新しい UEFI スキャナーはハードウェア製造元が提供するハードウェア プロトコルに従う必要があります。 互換性があり、すべてのプラットフォームで最新の状態にするには、プロトコルの違いを考慮する必要があります。
UEFI スキャナーは、ハードウェア フラッシュ ストレージから取得したファームウェアに対して動的分析を実行します。 ファームウェアを取得することで、スキャナーはファームウェアを解析し、Defender for Endpoint が実行時にファームウェア コンテンツを検査できるようにします。
UEFI スキャナーを有効にする方法
新しい UEFI スキャナーは、Microsoft Defenderウイルス対策のコンポーネントであるため、プライマリ AV である限り、UEFI ファームウェアをスキャンしてアクセスするこの機能が含まれています。
UEFI スキャナーの管理方法
これは、Microsoft Defenderウイルス対策の組み込み機能です。 そのため、追加の管理はありません。
Defender for Endpoint の UEFI スキャナーのしくみ
新しい UEFI スキャナーは、マザーボード チップセットと対話することで、実行時にファームウェア ファイル システムを読み取ります。 脅威を検出するために、次のような複数の新しいソリューション コンポーネントを使用して動的分析を実行します。
- シリアル周辺機器インターフェイス (SPI) を介してファームウェアに到達する UEFI 反ルートキット
- ファームウェア内のコンテンツを分析するフル ファイルシステム スキャナー
- エクスプロイトと悪意のある動作を識別する検出エンジン
ファームウェア スキャンは、不審なドライバーの読み込みなどのランタイム イベントや定期的なシステム スキャンによって調整されます。 検出は、[保護履歴] の下のWindows セキュリティで報告されます。
Defender for Endpoint のお客様は、Microsoft Defender ポータルでアラートとして発生した検出を確認できるため、セキュリティ運用チームは、環境のファームウェア レベルでファームウェア攻撃や疑わしいアクティビティを調査して対応できます。
SPI フラッシュで未知の脅威を検出するために、UEFI スキャナーからの信号を分析して、異常と実行された場所を特定します。 異常は、調査のためにMicrosoft Defender ポータルに報告されます。
次に示すように、これらのイベントも高度なハンティングを通じて照会できます。
let AlertStats = AlertInfo
| where Timestamp > ago(30d)
| where ServiceSource == "Microsoft Defender for Endpoint"
| where DetectionSource == "Antivirus"
| where Title has "UEFI"
| join AlertEvidence on AlertId;
AlertStats
| join DeviceInfo on DeviceId
| distinct DeviceName, DeviceId, AlertId, Title, Severity, DetectionSource, Timestamp
| summarize Titles=makeset(Title) by DeviceName, DeviceId, bin(Timestamp, 1d)
低レベルの保護による包括的なセキュリティ レベルアップ
新しい UEFI スキャナーは、信頼の強いハードウェア ルートから OS レベルのクラウドを利用したセキュリティ ソリューションまで、チップからクラウドへのセキュリティを提供するために統合される豊富な Microsoft テクノロジのセットに追加されます。
セキュア起動やデバイス構成証明などのハードウェアによってサポートされるセキュリティ機能は、ファームウェア攻撃を阻止するのに役立ちます。 これらの機能は、 セキュリティで保護されたコア PC で既定で有効になっており、Defender for Endpoint とシームレスに統合され、包括的なエンドポイント保護を提供します。
UEFI スキャナーを使用すると、 Defender for Endpoint は、攻撃者が取り組みにますます集中しているファームウェア レベルで、脅威をより詳細に可視化します。 セキュリティ運用チームは、この新しいレベルの可視性と、Defender for Endpoint の豊富な検出と対応機能を使用して、このような高度な攻撃を調査して含めることができます。
このレベルの可視性は、Microsoft Defender ポータルでも使用できます。これにより、エンドポイント、ID、電子メール、アプリ間の保護を調整する、より広範なクロスドメイン防御が実現されます。