Microsoft Defender voor bedrijven krijgt detectiemogelijkheid voor UEFI-malware

De zakelijke variant van Microsoft Defender kan voortaan ook uefi-malware ontdekken. Defender Advanced Threat Protection wijzigt daarvoor de System Guard-feature. Daardoor kunnen firmwareaanvallen worden voorkomen door onder meer secure boots te garanderen.

Microsoft voert de wijzigingen door in Defender Advanced Threat Protection, de betaalde enterprisevariant van de standaard beveiligingssoftware van Windows 10. Daar komt een scanner in te zitten die rootkits en andere malware in de Unified Extensible Firmware Interface kan detecteren.

Dat doet Microsoft onder andere door hardware-backed beveiliging toe te voegen. Dat gebeurt onder andere via runtime attestation, dat sinds 2018 in Defender zit, en Dynamic Root of Trust. Daarvoor moeten gebruikers wel bepaalde hardware hebben zoals een Second Core-system.

Daarnaast scant Defender ATP het volledige bestandssysteem, waaronder bestanden binnen de UEFI-firmware. Ook controleert de scanner de firmware via de Serial Peripheral Interface. De nieuwe scanner checkt periodiek op verdachte handelingen in de firmware, maar geeft ook meldingen als er bijvoorbeeld een onverwachte driver wordt geladen.

Microsoft zegt dat het de laatste jaren steeds meer geavanceerde hacks ziet waarbij de malware op firmwareniveau wordt geladen. Zulke malware is persistent en blijft dus op het systeem staan na een herstart of zelfs een reset, en is vaak moeilijker te vinden door beveiligingssoftware.