Análise de UEFI no Defender para Endpoint

2025-05-01

Recentemente, Microsoft Defender para Ponto de Extremidade expandiu as suas capacidades de proteção para o nível de firmware com um novo scanner ueFI (Unified Extensible Firmware Interface).

Os ataques ao nível do hardware e do firmware continuaram a aumentar nos últimos anos, à medida que as soluções de segurança modernas dificultavam a evasão à persistência e à deteção no sistema operativo. Os atacantes comprometem o fluxo de arranque para obter um comportamento de software maligno de baixo nível difícil de detetar, o que representa um risco significativo para a postura de segurança de uma organização.

O Windows Defender System Guard ajuda a defender-se contra ataques de firmware ao fornecer garantias de arranque seguro através de funcionalidades de segurança suportadas por hardware, como o atestado ao nível do hipervisor e o Lançamento Seguro, também conhecido como Raiz Dinâmica de Confiança (DRTM), que estão ativadas por predefinição em PCs de Núcleo Protegido. O novo motor de análise UEFI no Defender para Endpoint expande-se nestas proteções ao disponibilizar amplamente a análise de firmware.

O detetor UEFI é um novo componente da solução antivírus incorporada no Windows 10 e versões mais recentes e dá ao Defender para Endpoint a capacidade única de analisar dentro do sistema de ficheiros de firmware e efetuar a avaliação de segurança. Integra informações dos nossos fabricantes de chipsets parceiros e expande ainda mais a proteção abrangente de pontos finais fornecida pelo Defender para Endpoint.

Pré-requisitos

Microsoft Defender Antivírus como o produto antivírus principal e no modo ativo. O detetor UEFI não funciona com o EDR no modo de bloqueio (com Microsoft Defender Antivírus no modo passivo).
A proteção em tempo real está ativada
A monitorização de comportamento está ativada
Os dispositivos estão a executar uma versão atual da plataforma antivírus Microsoft Defender
Os dispositivos estão a executar uma das seguintes versões do Windows:
- Windows 10, Windows 11 ou mais recente em dispositivos cliente
- Windows Server 2019, Windows Server 2022 ou versões mais recentes
- Windows Server 2012 R2 e Windows Server 2016 com o cliente unificado do Defender para Endpoint instalado

O que é o scanner UEFI?

O UEFI (Unified Extensible Firmware Interface) é um substituto do BIOS legado. Se o chipset estiver configurado corretamente (UEFI & configuração do chipset) e o arranque seguro estiver ativado, o firmware é razoavelmente seguro. Para executar um ataque baseado em hardware, os atacantes exploram um firmware vulnerável ou uma máquina configurada incorretamente para implementar um rootkit, o que permite que os atacantes ganhem posição de pé no computador.

Captura de ecrã que mostra o fluxo de arranque esperado vs. fluxo de arranque comprometido

Como mostra a figura, para os dispositivos que estão configurados corretamente, o caminho de arranque do início para a inicialização do SO é fiável. Se o arranque seguro estiver desativado ou se o chipset da placa principal estiver mal configurado, os atacantes podem alterar os conteúdos dos controladores UEFI que não estão assinados ou adulterados no firmware. Isto pode permitir que os atacantes assumam o controlo dos dispositivos e lhes dê a capacidade de privar o kernel ou o antivírus do sistema operativo para reconfigurar a segurança do firmware.

Inicialização da plataforma UEFI

A flash interface de periférico de série (SPI) armazena informações importantes. A sua estrutura depende da estrutura do OEM e, geralmente, inclui a atualização do microcódigo do processador, o Intel Management Engine (ME) e a imagem de arranque, um executável UEFI. Quando um computador é executado, os processadores executam o código de firmware do SPI flash durante algum tempo durante a fase SEC da UEFI. Em vez de memória, o flash é mapeado permanentemente para o vetor de reposição x86 (endereço físico 0xFFFF_FFF0). No entanto, os atacantes podem interferir com o acesso à memória para repor o vetor por software. Fazem-no ao reprogramar o registo de controlo do BIOS em dispositivos configurados incorretamente, tornando ainda mais difícil para o software de segurança determinar exatamente o que é executado durante o arranque.

Quando um implante é implementado, é difícil de detetar. Para capturar ameaças a este nível, as soluções de segurança ao nível do SO dependem das informações do firmware, mas a cadeia de confiança está enfraquecida.

Tecnicamente, o firmware não é armazenado e não está acessível a partir de main memória. Ao contrário de outro software, é armazenado no armazenamento flash SPI, pelo que o novo scanner UEFI tem de seguir o protocolo de hardware fornecido pelos fabricantes de hardware. Para ser compatível e estar atualizado com todas as plataformas, tem de ter em consideração as diferenças de protocolo.

Captura de ecrã que mostra a descrição geral interna do scanner UEFI

O detetor UEFI efetua uma análise dinâmica do firmware que obtém do armazenamento flash de hardware. Ao obter o firmware, o scanner consegue analisar o firmware, permitindo que o Defender para Endpoint inspecione o conteúdo do firmware no runtime.

Como ativa o scanner UEFI?

O novo detetor UEFI é um componente do Antivírus Microsoft Defender, desde que seja o AV primário, inclui esta capacidade para analisar e aceder ao firmware UEFI.

Como pode gerir o scanner UEFI?

É uma funcionalidade incorporada do Antivírus Microsoft Defender. Assim, não há gestão adicional.

Como funciona o scanner UEFI no Defender para Endpoint?

O novo scanner UEFI lê o sistema de ficheiros de firmware no runtime ao interagir com o chipset da placa principal. Para detetar ameaças, efetua uma análise dinâmica com vários componentes de solução novos que incluem:

Anti-rootkit UEFI, que atinge o firmware através da Interface de Periférico de Série (SPI)
Scanner de sistema de ficheiros completo, que analisa conteúdo dentro do firmware
Motor de deteção, que identifica exploits e comportamentos maliciosos

A análise de firmware é orquestrada por eventos de runtime, como carga de controlador suspeita e análises periódicas do sistema. As deteções são reportadas no Segurança do Windows, em Histórico de proteção.

Captura de ecrã a mostrar Segurança do Windows notificação de conteúdo malicioso na NVRAM

Os clientes do Defender para Endpoint podem ver estas deteções levantadas como alertas no portal do Microsoft Defender, capacitando as equipas de operações de segurança a investigar e responder a ataques de firmware e atividades suspeitas ao nível do firmware nos respetivos ambientes.

Captura de ecrã a mostrar um alerta do Defender para Endpoint a detetar código malicioso

Para detetar ameaças desconhecidas no flash SPI, os sinais do detetor UEFI são analisados para identificar anomalias e onde foram executadas. As anomalias são comunicadas ao portal do Microsoft Defender para investigação.

Captura de ecrã que mostra o alerta do Defender para Endpoint para o implante de software maligno no UEFI

Estes eventos também podem ser consultados através de investigação avançada, conforme mostrado:

let AlertStats = AlertInfo
| where Timestamp > ago(30d)
| where ServiceSource == "Microsoft Defender for Endpoint"
| where DetectionSource == "Antivirus"
| where Title has "UEFI"
| join AlertEvidence on AlertId;
AlertStats
| join DeviceInfo on DeviceId
| distinct DeviceName, DeviceId, AlertId, Title, Severity, DetectionSource, Timestamp
| summarize Titles=makeset(Title) by DeviceName, DeviceId, bin(Timestamp, 1d)

Níveis de segurança abrangentes com proteções de baixo nível

O novo detetor UEFI adiciona a um conjunto avançado de tecnologias da Microsoft que se integram para fornecer segurança chip-to-cloud, desde uma forte raiz de hardware de confiança a soluções de segurança com tecnologia de cloud ao nível do SO.

As funcionalidades de segurança suportadas por hardware, como o Início Seguro e o atestado de dispositivo, ajudam a parar os ataques de firmware. Estas funcionalidades, que estão ativadas por predefinição em PCs de Núcleo Seguro, integram-se perfeitamente com o Defender para Endpoint para fornecer proteção de ponto final abrangente.

Com o seu scanner UEFI, o Defender para Endpoint obtém uma visibilidade ainda mais rica sobre ameaças ao nível do firmware, onde os atacantes têm vindo a concentrar cada vez mais os seus esforços. As equipas de operações de segurança podem utilizar este novo nível de visibilidade, juntamente com o conjunto avançado de capacidades de deteção e resposta no Defender para Endpoint, para investigar e conter esses ataques avançados.

Este nível de visibilidade também está disponível no portal Microsoft Defender, que fornece uma defesa de vários domínios ainda mais ampla que coordena a proteção entre pontos finais, identidades, e-mail e aplicações.