Secure-Core PCs schützen Windows gegen Treiberangriffe

[English]Das Windows Platform Security Team geht in einem Beitrag auf die Technik ein, dass Secure-Core PCs Windows gegen Angriffe auf den Kernel, z.B. durch kompromittierte Treiber, schützen können.


Anzeige

Ich hatte die Information bereits gestern gelesen, bin aber erneut über den nachfolgenden Tweet auf diesen Beitrag aufmerksam geworden.

Die Leute von Microsoft arbeiten sich in diesem Beitrag am Thema erlangen von Kernel-Privilegien durch Ausnutzung legitimer Kernel-Treiber ab.

Kernel-Treiber für Privilege Escalation missbrauchen

Der Erwerb von Kernel-Privilegien durch Ausnutzung legitimer, aber anfälliger Kernel-Treiber ist zu einem etablierten Werkzeug der Wahl für fortgeschrittene Angreifer geworden. Mehrere Malware-Angriffe, darunter RobbinHood, Uroburos, Derusbi, GrayFish und Sauron sowie Kampagnen des Bedrohungsakteurs STRONTIUM, haben Treiber-Schwachstellen (z.B. CVE-2008-3431, CVE-2013-3956, CVE-2009-0824, CVE-2010-1592,usw.) ausgenutzt, um Kernel-Privilegien zu erlangen und in einigen Fällen Sicherheitsagenten auf kompromittierten Rechnern effektiv zu deaktivieren.

Secured-Core-PCs als Gegenmaßnahme

Im Oktober 2019 hatte Microsoft eine neue Entwicklung, die Secured-Core-PCs mit zusätzlichem Schutz vor Firmware-Angriffen, vorgestellt. Ich hatte im Blog-Beitrag Microsoft stellt Secured-core PCs mit Firmware-Schutz vor darüber berichtet.

Secured-Core-PCs sind Geräte, die eine Reihe von Sicherheitstechnologien verwenden, um Angriffe auf Firmware-Ebene zu verhindern. Microsoft will dazu einen softwarebasierten Schutz auf Betriebssysteme und in verbundene Dienste integrieren. Microsoft arbeitete intern und extern mit den OEM-Partnern Lenovo, HP, Dell, Panasonic, Dynabook und Getac zusammen, um eine neue Geräteklasse, die Secured-Core-PCs, einzuführen.

Diese Secured-Core-PCs müssen "eine Reihe spezifischer Geräteanforderungen, die die Sicherheits-Best-Practices der Isolierung und des minimalen Vertrauens auf die Firmware-Schicht oder den Gerätekern, der das Windows-Betriebssystem unterstützt, anwenden" erfüllen. Die Geräte richten sich an Unternehmen, die mit hochsensiblen Informationen umgehen, wie z.B. Finanzdienstleister, staatliche Institutionen und so weiter.

Die Details, wie Microsoft sich die Absicherung auf Secured-Core-PCs mittels TPM 2.0 oder höher, Windows Defender System Guard, HVCI Kernel DMA-Schutz etc. vorstellt, sind in diesem Blog-Beitrag nachzulesen.


Anzeige


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Geräte, Sicherheit, Windows 10 abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Secure-Core PCs schützen Windows gegen Treiberangriffe

  1. DavidXanatos sagt:

    Das legitime rational hinter diesen Maßnahmen ist einerseits verständlich, andererseits fördern solche Sachen auch die Apple-fizierung des Software-Ökosystems und damit die Entmündigung der Benutzer und Admins.

    Ein System muss außer von Blacklisten auch von Hardware Besitzer einspielbare Whitelists haben mit den der Besitzer nach belieben eigenen nicht vom MSFT signierten Code auf Kernel und Hypervisor ebene zur Ausführung bringen kann.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.