Microsoft ouvre son antivirus Defender aux UEFI

Microsoft dote son antivirus d’un scanner UEFI et le rend accessible dans le cadre de la suite de sécurité Defender ATP.

Comme ESET ou encore Kaspersky, l’antivirus de Microsoft inclut désormais un scanner UEFI.

Peuvent y accéder les entreprises qui disposent d’un abonnement à la suite de sécurité Defender ATP.

L’outil communique avec le firmware sur l’interface SPI, selon les protocoles hardware des fabricants. Les analyses se font de façon périodique, ainsi qu’en réponse à des événements de type chargement d’un pilote douteux. Les alertes apparaissent dans le centre de sécurité Microsoft Defender.

Interface SPI

Microsoft Defender ATP alerte UEFI

Le balayage UEFI s’inscrit dans la lignée d’autres fonctionnalités d’intégrité du système regroupées sous la bannière System Guard. Parmi elles :

  • Runtime attestation
    Ce composant se fonde sur un moteur qui mesure en continuité l’intégrité du noyau, au niveau de l’hyperviseur. Il doit permettre, par exemple, de détecter les attaques basées sur l’exfiltration des jetons qui fournissent à chaque processus le contexte de sécurité du compte utilisateur associé.

    Windows Defender runtime attestation

  • Secure Launch / Dynamic Root of Trust
    Cette racine de confiance matérielle protège l’intégrité du système au démarrage. Puis la maintient à l’exécution. Elle est le socle de l’initiative Secured-core officialisée en octobre dernier. Objectif : implémenter ladite racine de confiance au niveau du CPU plutôt que du firmware.

Windows System Guard Secure Launch

Illustrations © Microsoft & RVNW – stock.adobe.com