圖片來源: 

微軟

有鑒於韌體成為今日惡意程式下手對象的情形愈來愈普遍,微軟周一宣佈透過和硬體廠商合作推出具新安全功能的Secured core PC,防止電腦遭韌體惡意程式駭入。

根據美國國家標準與技術研究所(National Institutional Standards and Technology, NIST)的國家漏洞資料庫數據,過去三年內韌體漏洞成長了5倍。這是因為韌體是用於發動裝置硬體,比OS 或hypervisor具有更高存取權限,而成為駭客眼中的好目標。攻擊韌體可以突破Secure Boot和其他OS及Hypervisor軟體實作的安全功能,在系統被駭時難以偵測到。此外,由於韌體位於OS之下,端點防護軟體看不太到韌體層,使惡意程式更容易躲藏。2018年底,安全研究人員就發現駭客組織Strontium駭入韌體漏洞散佈惡意程式。

事實上,微軟早就實作韌體惡意程式的防護。Windows 8起,微軟推出Secure Boot技術來防止利用UEFI(Unified Extensible Firmware Interface)韌體的惡意開機程式和rootkit。但是這項技術的前提是信任韌體來驗證開機程式,因此無法防堵駭入受信任韌體漏洞的惡意程式。為此,微軟和電腦製造商及晶片業者合作設計更進階的硬體安全計畫,稱為Secured-core PC。

利用AMD、Intel及高通晶片新的動態可信度量根(Dynamic Root of Trust for Measurement,DRTM)功能,Windows 10 Secured –core PC開機將經過一個「系統防護安全啟動」(System Guard Secure Launch)的過程,藉此防止韌體攻擊的開機行程。原理是System Guard利用最新AMD、Intel及Qualcomm晶片內建的動態量測信任根(Dynamic Root of Trust Measurement,DRTM)技術,使系統運用韌體啟動硬體,之後立即重啟系統,利用OS開機程式及處理器能力使系統進入已知且經驗證的code path。微軟指出,Secure Launch機制旨在減少對韌體的信任,能更有效防堵入侵韌體的網路威脅。

這種設計也能確保hypervisor實作的虛擬層安全(virtual-based security,VBS)的完整性。之後VBS就可靠hypervisor和OS其餘部份隔離開來,防止有惡意程式利用權限升級破壞虛擬層的安全性,進而確保微軟Windows Defender Credential Guard這類防護,後者可保護OS身份驗證,以及HVCI (Hypervisor-protected Code Integrity)政策被惡意程式竄改,造成敏感資料外洩等危害。

微軟也透過和PC廠商合作Secured-core PC,鎖定涉及處理敏感資料的特定產業,像是政府、金融及健康照護業推出更高階的PC產品。這類PC搭載的Windows 10 Pro除了現有內建防火牆、Secure Boot、檔案層資料外洩防護功能、TPM(Trusted Platform Module)2.0 之外,再加入Secure Launch機制。

目前參與Secured-core PC計畫的PC品牌包括Dell、Dynabook、HP、Lenovo、Panasonic及微軟Surface。


Advertisement

更多 iThome相關內容