O que são PCs Secured-Core e como eles se protegem contra malware?
Os PCs com núcleo seguro são uma classe de computadores projetados para impedir ataques de malware persistentes, especialmente aqueles que visam vulnerabilidades fora dos privilégios de controle do Anel 0 de proteção, como malware de firmware. Os privilégios estão além do que um usuário normal acessaria.
A Microsoft sancionou essa categoria de PCs com tecnologias de segurança desenvolvidas em conjunto com os principais fabricantes de PCs e fornecedores de chips de silício. Então, o que exatamente são PCs com núcleo seguro? E por que as grandes empresas podem usar um?
Por que os PCs Secured-Core são tão seguros?
Os componentes em PCs de núcleo protegido funcionam em uma estrutura holística combinada para garantir a integridade do firmware, hardware e software. As máquinas são particularmente importantes para organizações como empresas, bancos, hospitais e instituições estaduais que lidam regularmente com dados confidenciais.
Notavelmente, eles são enviados com proteções habilitadas que só podem ser desligadas por especialistas autorizados dos respectivos fornecedores de chips.
A Microsoft colaborou com fabricantes de chips como Intel, AMD e Qualcomm para desenvolver chips de CPU dedicados à execução de verificações de integridade para PCs de núcleo protegido. Uma vez embutidos na placa-mãe, os chips lidam com protocolos de segurança que normalmente dependem de firmware.
O processo de verificação envolve a autenticação de hashes criptográficos para manter a integridade do código.
Como PCs Secured-Core eliminam malware de firmware
Os PCs com núcleo seguro são projetados para autenticar todas as operações envolvidas durante e após o processo de inicialização. Como suas credenciais de sistema são isoladas e bloqueadas para proteger os hashes criptográficos, o malware que tenta assumir o controle de protocolos críticos do sistema é incapaz de recuperar tokens de autenticação.
Esse nível de segurança é possível por meio do Windows HyperVisor Code Integrity (HVCI) e da Virtualization-Based security (VBS). HVCI opera sob VBS e trabalha para aprimorar a integridade do código de forma que apenas os processos verificados sejam executados por meio da memória do kernel.
O VBS utiliza virtualização baseada em hardware para isolar setores de memória seguros do sistema operacional. Por meio do VBS, é possível isolar processos de segurança vitais para evitar que sejam comprometidos. Isso é importante ao tentar limitar os danos, especialmente ao lidar com malware que visa componentes do sistema de alto privilégio.
Além disso, os PCs de núcleo protegido utilizam o Modo Virtual Secure (VSM) da Microsoft. Isso funciona para proteger dados cruciais, como credenciais de usuário no Windows. Isso significa que, no caso raro de malware comprometer o kernel do sistema, o dano é limitado.
VSM pode criar novas zonas de segurança dentro do sistema operacional durante tais instâncias e manter o isolamento por meio de Níveis de Confiança Virtual (VTLs), que funcionam em um nível por partição.
Em PCs de núcleo seguro, o VSM hospeda soluções de dissuasão de segurança, como Credential Guard, Device Guard e Virtual Trusted Platform Module (TPM).
O acesso a esses setores VSM altamente fortificados é concedido exclusivamente pelo gerenciador do sistema, que também controla o processador da Unidade de Gerenciamento de Memória (MMU), bem como a unidade de gerenciamento de memória de entrada-saída (IOMMU), que está envolvida na inicialização.
Dito isso, a Microsoft já tem experiência significativa na criação de soluções de segurança baseadas em hardware; o baluarte do Xbox é um testemunho disso.
Os atuais parceiros de núcleo seguro da Microsoft incluem Dell, Dynabook, Lenovo, HP, Getac, Fujitsu, Acer, Asus, Panasonic e o segmento Microsoft Surface da própria empresa que lida com computadores pessoais.
Proteções adicionais para PC com núcleo seguro
Embora os PCs de núcleo protegido tenham amplos reforços de segurança baseados em hardware, eles também exigem uma variedade de auxiliares de segurança baseados em software. Eles funcionam como a primeira linha de defesa durante um ataque de malware.
Um impedimento baseado em software principal é o Windows Defender, que implementa o System Guard Secure Launch. Disponibilizado pela primeira vez no Windows 10, ele usa o protocolo Raiz Dinâmica de Confiança para Medição (DRTM) para iniciar processos de inicialização em código não verificado ao iniciar.
Logo depois, ele assume todos os processos e os restaura para um estado confiável. Isso ajuda a evitar problemas de inicialização se o código UEFI for adulterado e mantém a integridade do código.
Para uma inicialização absolutamente segura, o Windows 10 vem com o modo S, que foi projetado para aumentar a segurança e o desempenho da CPU. Nesse modo, o Windows só pode carregar aplicativos assinados da Microsoft Store. A navegação neste estado é limitada ao uso do Microsoft Edge.
Os usuários de PC de núcleo seguro também podem aumentar a segurança do PC usando o Windows Defender Application Control (WDAC) para limitar os drivers que podem ser executados no Windows 10. O recurso implementa políticas de driver e software permitindo que apenas aplicativos confiáveis operem.
O Windows Hello é outro recurso necessário para aumentar a segurança em PCs de núcleo protegido. Ele usa reconhecimento facial, PIN e recursos de desbloqueio de impressão digital para fortalecer a segurança do login.
O Windows Hello depende de hardware biométrico especializado que inclui um leitor de impressão digital e sensores infravermelhos. O hardware utiliza a tecnologia Trusted Platform Module (TPM) para proteger as credenciais.
Por que a Microsoft decidiu desenvolver PCs com núcleo seguro
A Microsoft investiu uma quantia significativa de dinheiro em pesquisa e desenvolvimento de PCs com núcleo seguro. A seguir estão alguns dos motivos pelos quais a empresa priorizou o projeto de segurança.
A necessidade de proteger as empresas contra malware de firmware
As ameaças à segurança cibernética estão evoluindo e, de acordo com um relatório da Microsoft , os ataques estão ficando mais sofisticados. Ele destaca as conclusões de um estudo realizado em 2021 e revela que mais de 80% das empresas no mundo desenvolvido sofreram um ataque de firmware nos dois anos anteriores.
Isso significa que muitas empresas em todo o mundo são vulneráveis a esquemas de exploração que utilizam malware de firmware.
Os exploits de firmware são muito difíceis de detectar e remover, uma vez que controlam um sistema. Além disso, a maioria dos computadores compartilha o mesmo código BIOS e, portanto, brechas de firmware descobertas por grupos de hackers podem ser aproveitadas contra milhões de computadores em todo o mundo, independentemente de sua marca ou fornecedor, daí a necessidade de PCs com núcleo protegido.
PCs Secured-Core resolvem problemas de firmware periférico
Dispositivos com firmware não assinado representam grandes problemas de segurança em PCs padrão. Periféricos como webcams são notórios por executar firmware anômalo que pode ser usado para espionar usuários. Seus drivers também podem ser atualizados sem o consentimento do cliente, aumentando assim os riscos de isso acontecer.
A falta de padrões harmonizados de segurança do setor está entre os principais motivos pelos quais os hackers os visam durante ataques de intrusão. Atualmente, os dispositivos vulneráveis incluem touchpads, adaptadores Wi-Fi, webcams e hubs USB. A maioria deles carece de hashing criptográfico e verificação de firmware, que são usados em PCs com núcleo seguro.
A dificuldade em harmonizar sua infraestrutura de segurança significa que a brecha provavelmente permanecerá aberta por muitos anos. Atualmente, os PCs de núcleo protegido são a melhor opção para organizações que procuram evitar essas brechas de segurança.
Microsoft trabalhando em mais soluções de segurança de firmware
Embora a Microsoft tenha criado PCs com núcleo seguro para impedir malware de firmware, ela também está trabalhando em ferramentas para ajudar a diminuir os ataques em computadores padrão. Sua recente aquisição do ReFirm Labs, o desenvolvedor de scanner de integridade de firmware de código aberto Binwalk, é um passo nessa direção.
Espera-se que mais soluções relacionadas sejam desenvolvidas pela gigante da tecnologia em um futuro próximo.
