Segurança assistida por silício

  • Artigo
  • Aplica-se a:
    Windows 11

Diagrama de conter uma lista de recursos de segurança.

Além de uma raiz de confiança de hardware moderna, há inúmeras outras funcionalidades nos chips mais recentes que endurecem o sistema operacional contra ameaças protegendo o processo de inicialização, protegendo a integridade da memória, isolando a lógica de computação sensível à segurança e muito mais.

Kernel protegido

Para proteger o kernel, temos dois recursos principais: segurança baseada em virtualização (VBS) e integridade de código protegida por hipervisor (HVCI). Todos os dispositivos Windows 11 darão suporte ao HVCI e a maioria dos novos dispositivos virá com a proteção VBS e HVCI ativada por padrão.

A VBS (segurança baseada em virtualização), também conhecida como isolamento principal, é um bloco de construção crítico em um sistema seguro. O VBS usa recursos de virtualização de hardware para hospedar um kernel seguro separado do sistema operacional. Isso significa que, mesmo que o sistema operacional esteja comprometido, o kernel seguro ainda estará protegido. O ambiente VBS isolado protege processos, como soluções de segurança e gerentes de credencial, de outros processos em execução na memória. Mesmo que o malware obtenha acesso ao kernel do sistema operacional main, o hipervisor e o hardware de virtualização ajudam a impedir que o malware execute códigos não autorizados ou acesse segredos da plataforma no ambiente VBS. O VBS implementa o nível de confiança virtual 1 (VTL1), que tem privilégio maior que o VTL0 (nível de confiança virtual 0) implementado no kernel main.

Como mais VTLs privilegiadas podem impor suas próprias proteções de memória, VTLs mais altas podem proteger efetivamente áreas de memória contra VTLs inferiores. Na prática, isso permite que uma VTL inferior proteja regiões de memória isoladas protegendo-as com uma VTL mais alta. Por exemplo, o VTL0 poderia armazenar um segredo no VTL1, momento em que somente vTL1 poderia acessá-lo. Mesmo que vTL0 esteja comprometido, o segredo seria seguro.

Saiba Mais:

A HVCI (integridade de código protegida pelo hipervisor), também chamada de integridade da memória, usa o VBS para executar a KMCI (Integridade de Código do Modo Kernel) dentro do ambiente VBS seguro em vez do kernel main Windows. Isso ajuda a evitar ataques que tentam modificar o código do modo kernel para coisas como drivers. O KMCI verifica se todo o código do kernel foi assinado corretamente e não foi adulterado antes de ser permitido executar. O HVCI garante que somente o código validado possa ser executado no modo kernel. O hipervisor aproveita as extensões de virtualização do processador para impor proteções de memória que impedem o software do modo kernel de executar código que não foi validado pela primeira vez pelo subsistema de integridade de código. O HVCI protege contra ataques comuns como o WannaCry que dependem da capacidade de injetar código mal-intencionado no kernel. O HVCI pode impedir a injeção de código mal-intencionado do modo kernel, mesmo quando drivers e outros softwares do modo kernel têm bugs.

Com novas instalações de Windows 11, o suporte do sistema operacional para VBS e HVCI é ativado por padrão para todos os dispositivos que atendem aos pré-requisitos.

Saiba Mais:

Proteção de pilha aplicada por hardware

A proteção contra pilha imposta por hardware integra software e hardware para uma defesa moderna contra ameaças cibernéticas, como corrupção de memória e explorações de dia zero. Com base na CET (Control- flow Enforcement Technology) da Intel e amd Shadow Stacks, a proteção contra pilha imposta por hardware foi projetada para proteger contra técnicas de exploração que tentam sequestrar endereços retornados na pilha.

O código do aplicativo inclui uma pilha de processamento de programas que os hackers buscam corromper ou interromper em um tipo de ataque chamado quebra de pilha. Quando defesas como a proteção espacial executável começaram a impedir tais ataques, os hackers recorreram a novos métodos, como programação orientada para retorno. A programação orientada para retorno, uma forma de quebra de pilha avançada, pode ignorar defesas, seqüestrar a pilha de dados e, finalmente, forçar um dispositivo a executar operações prejudiciais. Para se proteger contra esses ataques de sequestro de fluxo de controle, o kernel do Windows cria uma "pilha de sombras" separada para endereços retornados. Windows 11 estende os recursos de proteção de pilha para fornecer suporte ao modo de usuário e ao modo kernel.

Saiba Mais:

Proteção de DMA (Acesso Direto à Memória) do Kernel

Windows 11 protege contra ameaças físicas, como ataques de DMA (Acesso Direto à Memória). Os dispositivos hot-plug-able do PcIe (Periférico Component Interconnect Express), como Thunderbolt, USB4 e CFexpress, permitem que os usuários anexem novas classes de periféricos externos, incluindo placas gráficas ou outros dispositivos PCI, aos seus computadores com a facilidade plug-and-play do USB. Como as portas de plug-quente PCI são externas e facilmente acessíveis, os PCs são suscetíveis a ataques de DMA por unidade. A proteção contra acesso à memória (também conhecida como Proteção contra DMA do Kernel) protege contra esses ataques, impedindo que periféricos externos obtenham acesso não autorizado à memória. Ataques DMA por unidade normalmente acontecem rapidamente enquanto o proprietário do sistema não está presente. Os ataques são realizados usando ferramentas de ataque simples a moderadas criadas com hardware e software acessíveis e fora da prateleira que não exigem a desmontagem do computador. Por exemplo, um proprietário de computador pode deixar um dispositivo para uma pausa rápida para café. Enquanto isso, um invasor conecta uma ferramenta externa a uma porta para roubar informações ou injetar código que fornece ao invasor controle remoto sobre os PCs, incluindo a capacidade de ignorar a tela de bloqueio. Com a proteção de acesso à memória interna e habilitada, Windows 11 é protegida contra ataque físico onde quer que as pessoas trabalhem.

Saiba Mais:

Computador de núcleo seguro

O relatório sinais de segurança de março de 2021 constatou que mais de 80% das empresas sofreram pelo menos um ataque de firmware nos últimos dois anos. Para clientes em setores sensíveis a dados, como serviços financeiros, governo e saúde, a Microsoft trabalhou com parceiros OEM para oferecer uma categoria especial de dispositivos chamados SCPCs (CCs de núcleo protegido). Os dispositivos são enviados com medidas de segurança adicionais habilitadas na camada de firmware, ou núcleo do dispositivo, que sustenta o Windows.

Os PCs de núcleo protegido ajudam a evitar ataques de malware e a minimizar vulnerabilidades de firmware, iniciando em um estado limpo e confiável na inicialização com uma raiz de confiança imposta por hardware. A segurança baseada em virtualização vem habilitada por padrão. Com a memória do sistema de proteção HVCI (integridade de código protegida por hipervisor) interna, os PCs de núcleo protegido garantem que todo o código executável do kernel seja assinado apenas por autoridades conhecidas e aprovadas. Os PCs de núcleo protegido também protegem contra ameaças físicas, como ataques de DMA (acesso direto à memória) com proteção DMA do kernel.

Os PCs de núcleo protegido fornecem várias camadas de proteção robusta contra ataques de hardware e firmware. Ataques de malware sofisticados geralmente podem tentar instalar "bootkits" ou "rootkits" no sistema para evitar a detecção e obter persistência. Esse software mal-intencionado pode ser executado no nível de firmware antes do Windows ser carregado ou durante o próprio processo de inicialização do Windows, permitindo que o sistema comece com o nível mais alto de privilégio. Como subsistemas críticos no Windows aproveitam a segurança baseada em virtualização, a proteção do hipervisor se torna cada vez mais importante. Para garantir que nenhum firmware ou software não autorizado possa começar antes do bootloader do Windows, os PCs do Windows dependem do padrão de Inicialização Segura uefi (Interface de Firmware Extensível Unificado), um recurso de segurança de linha de base de todos os PCs Windows 11. A Inicialização Segura ajuda a garantir que somente firmware autorizado e software com assinaturas digitais confiáveis possam ser executados. Além disso, as medidas de todos os componentes de inicialização são armazenadas com segurança no TPM para ajudar a estabelecer um log de auditoria não repúdio da inicialização chamado SRTM (Raiz Estática de Confiança para Medição).

Milhares de fornecedores de computadores produzem vários modelos de dispositivo com diversos componentes de firmware UEFI, o que, por sua vez, cria um número incrivelmente grande de assinaturas e medidas srtm no inicialização. Como essas assinaturas e medidas são inerentemente confiáveis pela Inicialização Segura, pode ser desafiador restringir a confiança apenas ao que é necessário para inicializar em qualquer dispositivo específico. Tradicionalmente, as listas de bloqueio e as listas de permissões eram as duas técnicas de main usadas para restringir a confiança e continuam a expandir se os dispositivos dependerem apenas de medidas srtm.

Em PCs de núcleo protegido, System Guard o Secure Launch protege o inicialização com uma tecnologia conhecida como A Raiz Dinâmica da Confiança para Medição (DRTM). Com o DRTM, o sistema segue inicialmente o processo normal de Inicialização Segura UEFI. No entanto, antes de iniciar, o sistema insere um estado confiável controlado por hardware que força as CPUs a seguir um caminho de código protegido por hardware. Se um rootkit ou bootkit de malware tiver ignorado a Inicialização Segura UEFI e residir na memória, o DRTM impedirá que ele acesse segredos e código crítico protegido pelo ambiente de segurança baseado em virtualização. A tecnologia FASR (Redução de Superfície de Ataque de Firmware) pode ser usada em vez de DRTM em dispositivos com suporte, como o Microsoft Surface.

O isolamento do SMM (Modo de Gerenciamento do Sistema) é um modo de execução em processadores baseados em x86 que é executado com um privilégio efetivo maior do que o hipervisor. O SMM complementa as proteções fornecidas pelo DRTM ajudando a reduzir a superfície de ataque. Contando com recursos fornecidos por provedores de silício como Intel e AMD, o isolamento do SMM impõe políticas que implementam restrições, como impedir que o código SMM acesse a memória do sistema operacional. A política de isolamento do SMM é incluída como parte das medidas DRTM que podem ser enviadas a um verificador como o Atestado Remoto do Microsoft Azure.

Diagrama de componentes de inicialização seguros.

Saiba Mais:

Bloqueio de configuração de núcleo seguro

Em muitas organizações, os administradores de TI impõem políticas em seus dispositivos corporativos para proteger o sistema operacional e manter os dispositivos em um estado compatível, impedindo que os usuários alterem configurações e criem deriva de configuração. O desvio de configuração ocorre quando usuários com direitos de administrador locais mudam as configurações e colocam o dispositivo fora de sincronização com as políticas de segurança. Dispositivos em um estado não compatível podem ficar vulneráveis até a próxima sincronização, quando a configuração é redefinida com a solução MDM (gerenciamento de dispositivo móvel). O bloqueio de configuração de núcleo protegido (bloqueio de configuração) é um recurso SCPC (PC de núcleo protegido) que impede que os usuários façam alterações indesejadas nas configurações de segurança. Com o bloqueio de configuração, o sistema operacional monitora as chaves do registro com suporte e reverte para o estado SCPC desejado por TI em segundos após detectar uma deriva.

Saiba Mais: