Microsoft тестирует новую технологию защиты от вредоносных программ в Windows 10 – Kernel Data Protection (KDP)

В блоге Security Kernel Core Team (команда, занимающаяся системами безопасности ядра системы) компания Microsoft сообщила:

Например, мы встречали случаи, когда злоумышленники использовали уязвимые драйверы с цифровой подписью для проведения атак на структуры данных системных политик с последующей установкой вредоносного драйвера без подписи.

KDP позволяет бороться с данными типами атак и защититься от несанкционированной модификации структур данных.

Кроме добавления защиты памяти на устройства Windows 10, KDP предлагает несколько дополнительных преимуществ:

• Улучшения производительности — KDP снижает нагрузку на компоненты аттестации, которым больше не потребуется проверять защищенные от записи переменные данные.
• Улучшения надежности — KDP упрощает диагностику ошибок повреждения памяти, которые не обязательно представляют уязвимости безопасности.
• Усиление безопасности экосистемы — KDP создает новые стимулы для разработчиков и поставщиков драйверов по улучшению совместимости своих продуктов с технологиями безопасности на основе виртуализации.

Безопасность системного ядра на основе виртуализации

KDP представляет собой коллекцию API, которые позволяют пометить отдельные области памяти ядра Windows как доступные только для чтения. Данная мера позволяет заблокировать изменение защищаемой зоны памяти со стороны вредоносных приложений или злоумышленников за счет использования системы безопасности на основе виртуализации (Virtualization-based security, VBS).

VBS использует аппаратные возможности виртуализации для изоляции защищаемой области памяти (режим виртуальной защиты) от обычных процессов операционной системы.

Способность KDP помечать области памяти как доступные только для чтения, должна быть востребована среди разработчиков ядра Windows и разработчиков сторонних решений, таких как антивирусное ПО, античит ПО и приложения для управления цифровыми правами (digital rights management, DRM).

Microsoft в общих чертах объяснила, как все будет работать:

VBS использует гипервизор Windows для создания режима виртуальной защиты и для применения ограничений, которые позволяют обеспечить безопасности важных ресурсов операционной системы и сопутствующих данных, например данных аутентификации пользователя.

Windows сможет использовать «режим виртуальной защиты» для размещения различных решений безопасности. Таким образом, они получат повышенную защиту от уязвимостей в операционной системы и не будут чувствительны к вредоносным эксплойтам и попыткам взлома.

Новая защита тестируется в сборках Insider Preview

Технологии VBS и KDP уже сейчас поддерживаются на компьютерах, отвечающих следующим требованиям:

• Расширения виртуализации Intel, AMD или ARM
• Поддержка технологии Second Level Address Translation: NPT для AMD, EPT для Intel, Stage 2 address translation для ARM
• Необязательно: Аппаратная поддержка MBEC (Mode Based Execution Control) для улучшения производительности с включенной технологией Hypervisor-protected code integrity (HVCI).

Полный список компонентов, требуемых для запуска VBS на устройстве Windows 10, доступен по ссылке.

KDP используется в движке аттестации System Guard Защитника Windows и в движке обеспечения целостности кода. Это две ключевые функции нового типа устройств Secured-Core PCs (компьютеры с защищенным ядром), которые будут поставляться со встроенной защитой от атак аппаратного уровня.

Secured-core PCs поддерживают системы безопасности на основе виртуализации прямо из коробки, а аппаратные функции безопасности включены в них по умолчанию.

Microsoft отмечает, что KDP уже доступен для тестирования в последней версии Windows 10 Build 20161 (Dev). Новую технологию можно использовать для защиты любого вида памяти, кроме исполняемых страниц, которые защищаются с помощью Hypervisor- protected code integrity (HVCI).