Microsoft heeft deze week een nieuwe beveiligingsinitiatief voor Windows-pc's aangekondigd. Pc's met het Secured-core-keurmerk moeten volgens Microsoft en enkele hardwarefabrikanten beschermd zijn tegen gerichte aanvallen op firmware.
Bepaalde apparaten van fabrikanten kunnen in aanmerking komen voor het Secured-core-keurmerk. Deze hardware moet voldoen aan een aantal vereisten voor beveiliging van de firmware. Het gaat dan onder andere om extra bescherming voor encryptiesleutels en identiteitsgegevens. Enkele partners van Microsoft bij het initiatief zijn AMD, Intel en Qualcomm. Het keurmerk is bedoeld voor pc's van medewerkers van bedrijven die gevoelige data behandelen, zoals ziekenhuizen, overheden en financiële instituten. Vooral voor deze bedrijven is beveiliging van de firmware cruciaal.
Volgens Microsoft wordt met het Secured-core-initiatief de beveiliging van identiteit, virtualisatie, het besturingssysteem, de hardware en de firmware gecombineerd. Hierdoor wordt als het ware een extra beveiligingslaag 'onder' het besturingssysteem gevormd. Deze laag dient ter aanvulling op standaardbeveiligingsonderdelen als Secure Boot, de tpm 2.0-module en BitLocker-encryptie, en op de bescherming tegen kernelaanvallen. Secured-core moet zorgen dat aanvallen op de firmware voorkomen worden, waar softwarematige beveiliging dergelijke aanvallen enkel kan opsporen.
De technologie maakt onder andere gebruik van Windows Defender System Guard, een systeem dat Microsoft in 2018 in de kern van Windows 10 integreerde en dat de aanwezigheid van een tpm 2.0-chip vereist. Dit systeem beschermt pc's tegen malware door kritieke functies te isoleren tijdens het opstarten. Deze functies omvatten onder andere Credential Guard en Device Guard. Die eerste functie maakt key-systems onbereikbaar voor aanvallers en die laatste voorkomt simpel gezegd het uitvoeren van malware. Eén van de vereisten voor Secured-core pc's is integratie van deze technologie.
Dit doen bedrijven onder andere via dynamic root of trust for measurement, in combinatie met beveiligingsfuncties die in recente chips van zitten verwerkt. Dankzij deze functies is het mogelijk om hardware na het opstarten opnieuw te initialiseren, waarna het besturingssysteem wordt opgestart via vertrouwde en verifieerbare code.
Volgens Microsoft is het aantal gerichte aanvallen op firmware in de afgelopen jaren flink gestegen. Waar in 2016 nog zeven aan firmware-gerelateerde kwetsbaarheden ontdekt waren, ligt dat aantal in 2019 op 414. Daarnaast hebben beveiligingsonderzoekers volgens Microsoft in 2018 ontdekt dat een hackgroep, genaamd Strontium, firmwarekwetsbaarheden uitbuitte om systemen 'in het wild' te besmetten met malware. Deze aanvallen waren moeilijk te detecteren en te verwijderen, dergelijke besmettingen kunnen zelfs blijven spelen wanneer het besturingssysteem opnieuw wordt geïnstalleerd of de hardware wordt vervangen.
Firmware wordt gebruikt om hardware te initialiseren en heeft hogere systeemrechten en -privileges dan de kernel van een besturingssysteem. Dit maakt de firmware een aantrekkelijk doelwit voor hackers. Aanvallen op de firmware kunnen beveiligingsopties van het besturingssysteem of de hypervisor voor virtuele machines omzeilen. Ook kan door een aanval op de firmware secure boot omzeild worden. Door de aard van deze aanvallen, is het moeilijk om te zien of een systeem is getroffen door een aanval op de firmware.
De toename van firmwarekwetsbaarheden in de afgelopen jaren. Via Microsoft.
Microsoft heeft voor de nieuwe beveiligingsfuncties onder andere gebruik gemaakt van Xbox-drm, vertelt een medewerker van het bedrijf aan ZDNet. Deze technieken zorgen ervoor dat gebruikers niet hun Xbox-consoles kunnen hacken. "Xbox heeft een zeer geavanceerd bedreigingsmodel, omdat we zelfs de gebruiker die in het bezit van de console is niet vertrouwen. We willen niet dat gebruikers de Xbox kunnen hacken zodat ze hun eigen [illegaal gedownloade] games kunnen spelen."
Secured-core maakt zijn introductie in de Surface Pro X for Business van Microsoft, maar zal ook in andere hardware verwerkt worden. De Elite Dragonfly-laptops van HP zullen bijvoorbeeld van deze extra beveiligingslaag voorzien zijn, evenals enkele nieuwe Dynabook-laptops. Ook Dell, Lenovo en Panasonic gaan pc's produceren die aan de beveiligingseisen van Microsoft voldoen.
Een woordvoerder van AMD vertelt aan Tweakers dat de technologie te laat werd geïntroduceerd om deze nog in de aankomende Ryzen Pro-cpu's te verwerken. Het bedrijf vertelt dat de technologieën in next-gen Ryzen-chips verwerkt zullen worden.