Windows 10: "Secured-core PCs" mit mehr Schutz gegen Firmware-Attacken

Microsoft will Notebooks gegen Angriffe härten: Mit Windows 10 Pro, TPM 2.0 und Firmware-Funktionen für Dynamic Root-of-Trust for Measurement (DRTM).

In Pocket speichern vorlesen Druckansicht 59 Kommentare lesen
Windows 10: "Secured-core PCs" sollen besser gegen Firmware-Attacken geschĂĽtzt sein

(Bild: Microsoft)

Lesezeit: 5 Min.
Inhaltsverzeichnis

Microsoft verzeichnet eine deutliche Zunahme von Cyber-Angriffen auf die Firmware beziehungsweise das UEFI-BIOS von Firmen-Notebooks. Sogenannte "Secured-core PCs", die es jetzt von mehreren Anbietern gibt, sollen besser gegen solche Firmware-Attacken gewappnet sein. Dazu nutzt Microsoft das Trusted Platform Module nach TPM-2.0-Spezifikation sowie einige schon länger diskutierte Firmware-Schutzmaßnahmen, vor allem die sogenannte Dynamic Root of Trust for Measurement (DRTM). Per DRTM kann Windows 10 Pro nach dem Hochfahren sicherstellen, dass wesentliche Teile der Firmware und des beim Booten ausgeführten Codes nicht manipuliert wurden.

Windows Defender System Guard Secure Launch und SMM Protection sollen vor allem Notebooks vor Advanced Persistent Threats (APTs) schützen; als Beispiel nennt Microsoft Angriffe der Gruppe Strontium/Fancy Bear. Microsoft hat nun einerseits mit AMD, Intel und Qualcomm zusammengearbeitet sowie auch mit Notebook-Herstellern wie Dell, HP, Lenovo, Panasonic und Toshiba (Dynabook): Auf dem Microsoft-Server gibt es eine Liste von "verifzierten" Secured-core PCs dieser Firmen, zu denen auch das hauseigene Surface Pro X for Business gehört.

Eine wichtige Funktion dieser Notebooks sind auch UEFI-BIOS-Updates via Windows Update, um Sicherheitspatches rasch zu verteilen. Microsoft stellt das dazu nötige UEFI Capsule Update – das etwa auch beim Linux Vendor Firmware Service (LVFS) zum Einsatz kommt – über die offene UEFI-BIOS-Implementierung Project µ bereit, die auch Surfaces nutzen.

Im Prinzip ist ein Schutz vor Firmware-Manipulation auch mit der einfacheren Static Root of Trust for Measurement (SRTM) möglich, die schon länger für den "Measured Launch" gemäß Trusted Computing Group (TCG) bekannt ist. Doch bei typischen PCs und Notebooks hat SRTM gravierende Nachteile, weshalb es in der Praxis kaum genutzt wird: Wenn sich auch nur kleine Teile des Firmware-Codes ändern, interpretiert das SRTM als unzulässige Manipulation. Der Aufwand zur Prüfung und Auslieferung von BIOS- und Treiber-Updates wächst dadurch extrem an.

Auch DRTM (PDF-Datei) nutzt ein Platform Configuration Register (PCR) im TPM, bezieht aber weniger Firmware-Komponenten ein. Das vermeidet Nachteile von SRTM. Die Firmware selbst lässt sich etwa mit digitalen Signaturen, UEFI Secure Boot und anderen Maßnahmen gegen Manipulation schützen.

Windows nennt DRTM "Windows Defender System Guard Secure Launch"; das verweist darauf, dass Secure Launch in die zahlreichen Funktionen von Windows Defender System Guard eingebunden ist. Durch die "Messung", also die Prüfung auf Veränderungen am Firmware-Code durch das TPM, welches im Kern unabhängig von Firmware und CPU arbeiten soll, müssen Betriebssystem (Windows 10 Pro ab 1809) und Hypervisor (Hyper-V für Virtualization-Based Security, VBS) der Firmware weniger stark (implizit) vertrauen.

TPM 2.0 in modernen Prozessoren sind allerdings üblicherweise als sogenannte Firmware-TPMs (fTPMs) realisiert, also keine physisch unabhängigen Chips (die es ebenfalls gibt). Das fTPM arbeitet jedoch immerhin unabhängig vom restlichen System mit einem separaten Mikrocontroller und einem Secure Element; AMD verwendet für den AMD Secure Processor/PSP etwa einen ARM Cortex-A5 mit ARM TrustZone. Mit älteren TPM-1.2-Chips funktioniert Windows Defender System Guard Secure Launch nicht.

Wenn DRTM eine Manipulation der Firmware feststellt, kann Windows 10 Pro das etwa per Microsoft Intune an Server weiterleiten. Der Admin des Firmennetzes kann solchen unsicheren Rechnern dann beispielsweise den Zugriff aufs interne Netz verwehren. Das soll es etwa ermöglichen, sogenannte "Zero Trust Networks" zu konfigurieren.

Windows Defender System Guard Boot Integrity Protection laut Microsoft

(Bild: Microsoft)

Der Schutz des Hypervisors vor Manipulation ist für VBS (Virtualisierungsbasierte Sicherheit) wichtig und VBS wiederum ist eine Komponente von Windows Defender Credential Guard und Hypervisor-protected Code Integrity (HVCI), die gegen Malware schützen sollen. Im deutschsprachigen Windows 10 übersetzt Microsoft das mit "Gerätesicherheit". HVCI lässt nur die Ausführung damit kompatibler Treiber zu.

Der sogenannte System Management Mode (SMM) von x86-Prozessoren wird schon seit Jahren von Sicherheitsexperten kritisiert: AMD- und Intel-Prozessoren wechseln nach einem System Management Interrupt (SMI) in den SMM, beispielsweise um die Taktfrequenz im laufenden Betrieb zu verändern (Energieverwaltung, Stromsparfunktionen). Der SMM ist aber vom Betriebssystem aus "unsichtbar" und daher ein lohnendes Ziel für Hacker. Malware kann per SMM im Prinzip beliebige RAM-Adressen auslesen oder überschreiben.

SMM Protection soll einerseits verhindern, dass Software im SMM auf unzulässige RAM-Adressen zugreift (SMM Paging Protection). In der Zukunft will Microsoft auch den sogenannten Supervisor SMI Handler einbinden, den Intel seit der Generation Core i-5000 (Broadwell) bei vPRO-Prozessoren mit Trusted Execution Technology (TXT) als SMI Transfer Monitor (PDF-Datei) einbaut. (ciw)