A Microsoft introduziu um PC com proteção de hardware contra ataques via firmware

A Microsoft, em parceria com a Intel, Qualcomm e AMD, introduziu sistemas móveis com proteção de hardware contra ataques por meio de firmware. A empresa foi forçada a criar essas plataformas de computação, aumentando os ataques aos usuários pelos chamados “hackers brancos” – grupos de especialistas em hackers subordinados a agências governamentais. Em particular, os especialistas em segurança da ESET atribuem essas ações a um grupo de hackers russos APT28 (Fancy Bear). O grupo APT28 supostamente testou software que executava código malicioso ao baixar o firmware do BIOS.

Juntos, os especialistas em segurança cibernética da Microsoft e os desenvolvedores de processadores apresentaram uma solução de silício na forma de uma raiz de confiança de hardware. A empresa chamou esses PCs de PC com núcleo protegido (PC com núcleo seguro). Atualmente, o PC com núcleo protegido inclui vários laptops da Dell, Lenovo e Panasonic e tablet Microsoft Surface Pro X. Esses e futuros PCs com um núcleo seguro devem garantir aos usuários total confiança de que todos os cálculos serão confiáveis ​​e não levarão ao comprometimento dos dados.
Até agora, o problema com PCs protegidos era que o microcódigo de firmware era criado por fabricantes OEM de placas-mãe e sistemas. Na verdade, esse foi o elo mais fraco da cadeia de suprimentos da Microsoft. Por exemplo, o console de jogos Xbox, por exemplo, opera há anos como a plataforma principal segura, pois a segurança da plataforma em todos os níveis, do hardware ao software, é monitorada pela própria Microsoft. Até agora, com um PC, isso era impossível.
A Microsoft tomou uma decisão simples de descartar o firmware da lista de contas durante a verificação inicial do proxy. Mais precisamente, eles deram o processo de verificação ao processador e um chip especial. Parece que isso usa uma chave de hardware, que é gravada no processador no estágio de produção. No momento do download do firmware para o PC, o processador verifica a segurança, se é confiável. Se o processador não impedir o download do firmware (aceito como confiável), o controle do PC será transferido para o sistema operacional. O sistema começa a considerar a plataforma confiável e, somente então, através do processo Windows Hello, permite ao usuário, além de fornecer acesso seguro, mas no nível mais alto.

Além do processador, o chip System Guard Secure Launch e o carregador de inicialização do sistema operacional também participam da proteção de hardware da raiz da confiança (e da integridade do firmware). O processo também inclui tecnologia de virtualização, que isola a memória do sistema operacional para evitar ataques no kernel e nos aplicativos do SO. Toda essa complexidade visa proteger, antes de tudo, o usuário corporativo, mas mais cedo ou mais tarde algo semelhante certamente aparecerá nos PCs de consumo.
.