有鉴于系统成为今日恶意程序下手对象的情形愈来愈普遍,微软周一宣布透过和硬件厂商合作推出具新安全功能的Secured core PC,防止电脑遭系统恶意程序骇入。
根据美国国家标准与技术研究所(National Institutional Standards and Technology,NIST)的国家漏洞数据库数据,过去三年内系统漏洞成长了5倍。这是因为系统是用于发动装置硬件,比OS或hypervisor具有更高存取权限,而成为黑客眼中的好目标。攻击系统可以突破SecureBoot和其他OS及Hypervisor软件实作的安全功能,在系统被骇时难以侦测到。此外,由于系统位于OS之下,端点防护软件看不太到系统层,使恶意程序更容易躲藏。2018年底,安全研究人员就发现黑客组织Strontium骇入系统漏洞散布恶意程序。
事实上,微软早就实作系统恶意程序的防护。Windows 8起,微软推出Secure Boot技术来防止利用UEFI(Unified Extensible FirmwareInterface)系统的恶意开机程序和rootkit。但是这项技术的前提是信任系统来验证开机程序,因此无法防堵骇入受信任系统漏洞的恶意程序。为此,微软和电脑制造商及芯片业者合作设计更进阶的硬件安全计划,称为Secured-core PC。
利用AMD、Intel及高通芯片新的动态可信度量根(Dynamic Root of Trust for Measurement,DRTM)功能,Windows 10 Secured–core PC开机将经过一个「系统防护安全启动」(System Guard Secure Launch)的过程,借此防止系统攻击的开机行程。原理是SystemGuard利用最新AMD、Intel及Qualcomm芯片内建的动态量测信任根(Dynamic Root of Trust Measurement,DRTM)技术,使系统运用系统启动硬件,之后立即重启系统,利用OS开机程序及处理器能力使系统进入已知且经验证的code path。微软指出,SecureLaunch机制旨在减少对系统的信任,能更有效防堵入侵系统的网络威胁。
这种设计也能确保hypervisor实作的虚拟层安全(virtual-based security,VBS)的完整性。之后VBS就可靠hypervisor和OS其余部份隔离开来,防止有恶意程序利用权限升级破坏虚拟层的安全性,进而确保微软Windows Defender Credential Guard这类防护,后者可保护OS身份验证,以及HVCI(Hypervisor -protected Code Integrity)政策被恶意程序窜改,造成敏感资料外泄等危害。
微软也透过和PC厂商合作Secured-core PC,锁定涉及处理敏感资料的特定产业,像是政府、金融及健康照护业推出更高阶的PC产品。这类PC搭载的Windows 10 Pro除了现有内建防火墙、Secure Boot、档案层资料外泄防护功能、TPM(Trusted Platform Module)2.0之外,再加入SecureLaunch机制。
目前参与Secured-core PC计划的PC品牌包括Dell、Dynabook、HP、Lenovo、Panasonic及微软Surface。
资料来源:iThome Security
