Microsoft ouvre son antivirus Defender aux UEFI

Comme ESET ou encore Kaspersky, l’antivirus de Microsoft inclut désormais un scanner UEFI.

Peuvent y accéder les entreprises qui disposent d’un abonnement à la suite de sécurité Defender ATP.

L’outil communique avec le firmware sur l’interface SPI, selon les protocoles hardware des fabricants. Les analyses se font de façon périodique, ainsi qu’en réponse à des événements de type chargement d’un pilote douteux. Les alertes apparaissent dans le centre de sécurité Microsoft Defender.

Le balayage UEFI s’inscrit dans la lignée d’autres fonctionnalités d’intégrité du système regroupées sous la bannière System Guard. Parmi elles :

• Runtime attestation
  Ce composant se fonde sur un moteur qui mesure en continuité l’intégrité du noyau, au niveau de l’hyperviseur. Il doit permettre, par exemple, de détecter les attaques basées sur l’exfiltration des jetons qui fournissent à chaque processus le contexte de sécurité du compte utilisateur associé.

• Secure Launch / Dynamic Root of Trust
  Cette racine de confiance matérielle protège l’intégrité du système au démarrage. Puis la maintient à l’exécution. Elle est le socle de l’initiative Secured-core officialisée en octobre dernier. Objectif : implémenter ladite racine de confiance au niveau du CPU plutôt que du firmware.

Illustrations © Microsoft & RVNW – stock.adobe.com