Windows 10: Defender ATP scannt jetzt das Mainboard-BIOS auf Angriffe
In Zusammenarbeit mit AMD und Intel erkennt Microsoft jetzt einige Angriffe mit bösartiger Firmware auf Desktop-PCs und Notebooks.
(Bild: Mark Mantel / heise online)
Die kostenpflichtige Advanced-Threat-Protection-Version (ATP) von Microsofts Windows-10-Defender lernt, Angriffe auf das BIOS zu erkennen – sowohl in Form eines modernen UEFIs als auch eines Legacy-BIOS. Dazu arbeitet Microsoft mit AMD und Intel zusammen, um über das Serial Peripheral Interface (SPI) des jeweiligen Chipsatzes Zugriff auf den Flash-Speicherchip der Firmware zu erhalten.
Ein Scanner liest das ausgeführte BIOS aus und meldet Unstimmigkeiten im Sicherheitscenter innerhalb der Windows-10-Einstellungen. Das Betriebssystem führt solche Scans regelmäßig als Routine und bei der Ausführung von Laufzeitereignissen durch, zum Beispiel, wenn ein Treiber geladen wird. Mittels kompromittiertem BIOS ließen sich manipulierte Treiber ohne Herstellersignatur aufspielen.
BIOS bei Angreifern im Fokus
Microsoft erläutert, dass sich Attacken in den vergangenenJahren verstärkt auf die Firmware von PCs konzentrieren. Ist ein (UEFI-)BIOS erst einmal kompromittiert, können Angreifer unbemerkt auf das System zugreifen und unter anderem Berechtigungen ändern. Solche Angriffe lassen sich durchführen, wenn die Secure-Boot-Funktionskette deaktiviert oder das BIOS beziehungsweise UEFI falsch eingestellt ist. Bisherige Sicherheits-Tools sind auf die übermittelten Daten der Firmware angewiesen, um solche tiefgreifenden Angriffe zu erkennen – genau diese Daten lassen sich jedoch manipulieren.
Mit sogenannten Secured-Core PCs, deren Firmware besser vor Manipulation geschützt ist, will Microsoft ebenfalls den Schutz verbessern. Für die eigenen Surface-Geräte entwickelt Microsoft ein teilweise offengelegtes UEFI-BIOS im Project Mu. Angriffe via System Management Mode (SMM) soll System Guard SMM Protection erschweren.
Microsoft verspricht mit dem UEFI-Scanner eine Variante, die Exploits und bösartiges Firmware-Verhalten unabhängig von der Firmware aufspürt. Defender ATP ist als Teil von Windows 10 Enterprise jedoch vorwiegend für System-Admins interessant, die größere PC-Flotten verwalten.
(mma)
