Microsoft lanzó el martes un PDF pesado que detalla las nuevas funciones centradas en la seguridad de Windows 11, con un fuerte énfasis en el apoyo a la confianza cero.
Desde hace un par de años, Microsoft, Google y Amazon han estado trabajando con el gobierno federal de los EE.UU. en la mejora de la ciberseguridad a través de zero trust, entre otras técnicas. Por supuesto, no es coincidencia que estos sean los tres grandes proveedores de servicios en la nube; están mejor posicionados para instituir controles para prevenir ataques cibernéticos catastróficos.
Pero Microsoft también está moviendo la seguridad hacia abajo en la pila a donde los rivales de la nube no pueden seguir: el firmware.
Seguridad de hardware bajo ataque
Si bien la seguridad a nivel de red es obligatoria, no es suficiente para protegerse contra los atacantes que tienen como objetivo el firmware y otros elementos de bajo nivel de una computadora.
Fallas en el firmware para CPUs, impresoras, y otro hardware puede abrir una puerta a una red corporativa. Malware como TrickBot, Rebote Lunary lojax
que se abre camino en el silicio es difícil de desalojar.
“Estas nuevas amenazas requieren hardware informático que sea seguro hasta el núcleo, incluidos los chips y procesadores de hardware que almacenan información empresarial confidencial”, afirmó Microsoft. en el nuevo informe. "Con la protección basada en hardware, podemos permitir una fuerte mitigación contra clases enteras de vulnerabilidades que son difíciles de frustrar solo con software".
Además de la solidez adicional de la protección, Microsoft promociona una menor desaceleración al utilizar protección basada en hardware en lugar de ejecutarla en software.
La base de la seguridad de hardware incorporada es una asociación entre raíz de confianza de hardware y seguridad asistida por silicio.
Raíz de confianza de hardware
La raíz de confianza del hardware es, por definición, “un punto de partida en el que se confía implícitamente”. En el caso de una PC, es la parte que verifica el código BIOS para asegurarse de que sea legítimo antes de iniciarse. Y cualquiera que haya tenido que eliminar malware de una máquina con el BIOS infectado sabe lo importante que es.
Las nuevas medidas de seguridad incluyen el almacenamiento de datos confidenciales, como claves criptográficas y credenciales de usuario, aislados del sistema operativo dentro de un área segura separada. Microsoft requiere que se instale un chip Trusted Platform Module (TPM) 2.0 en máquinas con Windows 11 nuevas y actualizadas. La empresa había requerido capacidades de TPM 2.0 en todas las nuevas máquinas con Windows 10, pero el la última versión de Windows ni siquiera se ejecuta si la PC no tiene un chip de seguridad TPM 2.0.
“Con la seguridad de aislamiento basada en hardware que comienza en el chip, Windows 11 almacena datos confidenciales detrás de barreras adicionales separadas del sistema operativo”, escribió Microsoft en su nuevo informe. “Como resultado, la información, incluidas las claves de cifrado y las credenciales de los usuarios, está protegida contra el acceso no autorizado y la manipulación”.
Para proporcionar protección TPM 2.0 directamente en la placa base, las máquinas con Windows 11 incluyen la Procesador de seguridad Microsoft Pluton en el sistema en chip. Si bien Pluton no es nuevo, lo fue vista preliminar en noviembre de 2020: la integración de las capacidades de TPM 2.0 de esta manera elimina un vector de ataque: la interfaz de bus entre la CPU y el chip TPM.
No todas las máquinas con Windows 11 tendrán un chip Pluton, pero todas tendrán un chip TPM 2.0.
Seguridad asistida por silicio
Las medidas de seguridad asistidas por silicio en Windows 11 comienzan con un núcleo seguro creado mediante seguridad basada en virtualización (VBS).
"El entorno VBS aislado protege procesos, como soluciones de seguridad y administradores de credenciales, de otros procesos que se ejecutan en la memoria", escribió Microsoft. "Incluso si el malware obtiene acceso al núcleo principal del sistema operativo, el hipervisor y el hardware de virtualización ayudan a evitar que el malware ejecute código no autorizado o acceda a secretos de la plataforma en el entorno VBS".
La integridad del código protegido por hipervisor (HCVI) utiliza VBS para verificar la validez del código dentro del entorno seguro de VBS en lugar de en el kernel principal de Windows. La integridad del código en modo kernel (KMCI), como se llama, evita los intentos de modificar controladores y similares. KMCI verifica que todo el código del kernel esté firmado correctamente y no haya sido alterado antes de permitir su ejecución. HVCI es compatible con todas las versiones de Windows 11 y está habilitado de forma predeterminada en la mayoría de las ediciones.
La protección de pila aplicada por hardware ofrece una medida adicional de protección contra ataques como la corrupción de la memoria y los exploits de día cero.
"Basada en la tecnología Controlflow Enforcement Technology (CET) de Intel y AMD Shadow Stacks, la protección de pila aplicada por hardware está diseñada para proteger contra técnicas de explotación que intentan secuestrar direcciones de retorno en la pila", explicó Microsoft. El sistema operativo hace esto creando una "pila oculta", separada de otras pilas, para las direcciones de retorno.
Para protegerse contra incursiones físicas en las que un intruso instala subrepticiamente malware desde un dispositivo, la línea de PC Secured-core de Microsoft sólo ejecutará ejecutables firmados por "autoridades conocidas y aprobadas", evitando que los periféricos externos accedan a la memoria sin autorización.
Aún más protección de firmware proviene de la implementación universal de Windows 11 del estándar de arranque seguro de la interfaz de firmware extensible unificada (UEFI). El TPM almacena un registro de auditoría de arranque, la Raíz estática de confianza para la medición (SRTM), para verificar si se realizaron intentos de subvertir el arranque.
UEFI no es exclusivo de las máquinas con Windows, por supuesto, pero Windows 11 agrega Dynamic Root of Trust for Measurement (DRTM) que verifica el proceso de arranque de UEFI en busca de actividad sospechosa antes de permitir que continúe. Los dispositivos que no son PC, como la tableta Surface, usan la reducción de superficie de ataque de firmware en lugar de DRTM.
La seguridad asistida por silicio es parte de las versiones Pro, Pro Workstation, Enterprise, Pro Education y Education de Windows 11. Las ediciones Home tendrán algunas de estas protecciones, pero no la lista completa. Ver El sitio web de Microsoft para comparaciones.
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
