Microsoft verzeichnet eine deutliche Zunahme von Cyber-Angriffen auf die Firmware beziehungsweise das UEFI-BIOS von Firmen-Notebooks. Sogenannte "Secured-core PCs", die es jetzt von mehreren Anbietern gibt, sollen besser gegen solche Firmware-Attacken gewappnet sein. Dazu nutzt Microsoft das Trusted Platform Module nach TPM-2.0-Spezifikation sowie einige schon länger diskutierte Firmware-Schutzmaßnahmen, vor allem die sogenannte Dynamic Root of Trust for Measurement (DRTM). Per DRTM kann Windows 10 Pro nach dem Hochfahren sicherstellen, dass wesentliche Teile der Firmware und des beim Booten ausgeführten Codes nicht manipuliert wurden.
Microsoft empfiehlt bereits zehn "Secured-core Notebooks" mit Windows 10 Pro, darunter das eigene Surface Pro X for Business.
(Bild: Microsoft)
BIOS-Update via Windows Update
Eine wichtige Funktion dieser Notebooks sind auch UEFI-BIOS-Updates via Windows Update, um Sicherheitspatches rasch zu verteilen. Microsoft stellt das dazu nötige UEFI Capsule Update – das etwa auch beim Linux Vendor Firmware Service (LVFS) zum Einsatz kommt – über die offene UEFI-BIOS-Implementierung Project µ bereit, die auch Surfaces nutzen.
Der Firmware weniger vertrauen: DRTM
Im Prinzip ist ein Schutz vor Firmware-Manipulation auch mit der einfacheren Static Root of Trust for Measurement (SRTM) möglich, die schon länger für den "Measured Launch" gemäß Trusted Computing Group (TCG) bekannt ist. Doch bei typischen PCs und Notebooks hat SRTM gravierende Nachteile, weshalb es in der Praxis kaum genutzt wird: Wenn sich auch nur kleine Teile des Firmware-Codes ändern, interpretiert das SRTM als unzulässige Manipulation. Der Aufwand zur Prüfung und Auslieferung von BIOS- und Treiber-Updates wächst dadurch extrem an.
Auch DRTM (PDF-Datei) nutzt ein Platform Configuration Register (PCR) im TPM, bezieht aber weniger Firmware-Komponenten ein. Das vermeidet Nachteile von SRTM. Die Firmware selbst lässt sich etwa mit digitalen Signaturen, UEFI Secure Boot und anderen Maßnahmen gegen Manipulation schützen.
Anzeige
Windows nennt DRTM "Windows Defender System Guard Secure Launch"; das verweist darauf, dass Secure Launch in die zahlreichen Funktionen von Windows Defender System Guard eingebunden ist. Durch die "Messung", also die Prüfung auf Veränderungen am Firmware-Code durch das TPM, welches im Kern unabhängig von Firmware und CPU arbeiten soll, müssen Betriebssystem (Windows 10 Pro ab 1809) und Hypervisor (Hyper-V für Virtualization-Based Security, VBS) der Firmware weniger stark (implizit) vertrauen.
TPM 2.0 in modernen Prozessoren sind allerdings üblicherweise als sogenannte Firmware-TPMs (fTPMs) realisiert, also keine physisch unabhängigen Chips (die es ebenfalls gibt). Das fTPM arbeitet jedoch immerhin unabhängig vom restlichen System mit einem separaten Mikrocontroller und einem Secure Element; AMD verwendet für den AMD Secure Processor/PSP etwa einen ARM Cortex-A5 mit ARM TrustZone. Mit älteren TPM-1.2-Chips funktioniert Windows Defender System Guard Secure Launch nicht.
Netz-Rauswurf
Wenn DRTM eine Manipulation der Firmware feststellt, kann Windows 10 Pro das etwa per Microsoft Intune an Server weiterleiten. Der Admin des Firmennetzes kann solchen unsicheren Rechnern dann beispielsweise den Zugriff aufs interne Netz verwehren. Das soll es etwa ermöglichen, sogenannte "Zero Trust Networks" zu konfigurieren.
Windows Defender System Guard Boot Integrity Protection laut Microsoft
(Bild: Microsoft)
Der Schutz des Hypervisors vor Manipulation ist für VBS (Virtualisierungsbasierte Sicherheit) wichtig und VBS wiederum ist eine Komponente von Windows Defender Credential Guard und Hypervisor-protected Code Integrity (HVCI), die gegen Malware schützen sollen. Im deutschsprachigen Windows 10 übersetzt Microsoft das mit "Gerätesicherheit". HVCI lässt nur die Ausführung damit kompatibler Treiber zu.
System Management Mode Protection
Der sogenannte System Management Mode (SMM) von x86-Prozessoren wird schon seit Jahren von Sicherheitsexperten kritisiert: AMD- und Intel-Prozessoren wechseln nach einem System Management Interrupt (SMI) in den SMM, beispielsweise um die Taktfrequenz im laufenden Betrieb zu verändern (Energieverwaltung, Stromsparfunktionen). Der SMM ist aber vom Betriebssystem aus "unsichtbar" und daher ein lohnendes Ziel für Hacker. Malware kann per SMM im Prinzip beliebige RAM-Adressen auslesen oder überschreiben.
SMM Protection soll einerseits verhindern, dass Software im SMM auf unzulässige RAM-Adressen zugreift (SMM Paging Protection). In der Zukunft will Microsoft auch den sogenannten Supervisor SMI Handler einbinden, den Intel seit der Generation Core i-5000 (Broadwell) bei vPRO-Prozessoren mit Trusted Execution Technology (TXT) als SMI Transfer Monitor (PDF-Datei) einbaut.
(ciw)
Als junger Leser heise+ mit 50 % Rabatt lesen. Exklusive Tests, Ratgeber & Hintergründe. Zugriff auf alle heise+ Beiträge inkl. allen Digital-Magazinen.Sichern Sie sich jetzt als junger Leser heise+ mit 50 % Rabatt. Exklusive Tests, Ratgeber & Hintergründe. Unbegrenzter Zugriff auf alle heise+ Beiträge inkl. allen Digital-Magazinen.
