UEFI scanner: Tính năng bảo mật hữu ích cho Windows 10 giúp phát hiện sớm các cuộc tấn công phần mềm

Windows Defender, hiện được biết đến với tên gọi mới là Microsoft Defender, ngày càng trở nên mạnh mẽ, hữu dụng, và trở thành công cụ phát hiện và ứng phó với các mối đe dọa bảo mật được nhiều người tin dùng trên Windows 10 thay vì sử dụng các phần mềm antivirus của bên thứ ba như trước đây. Trong thời gian tới, công cụ này sẽ tiếp tục được bổ sung thêm một tính năng bảo mật khác cực kỳ hữu ích, đó là quét UEFI (Unified Extensible Firmware Interface scanner).

Cụ thể vào ngày 18/6 vừa qua, Microsoft đã chính thức đưa ra thông báo cho biết sẽ bổ sung thêm tính năng UEFI scanner trong công cụ Defender Advanced Threat Protection (Defender ATP) nhằm tăng cường thêm một lớp bảo mật chủ động, giúp phát hiện sớm các cuộc tấn công phần mềm trên hệ thống Windows 10. Nói cách khác, Microsoft Defender ATP sẽ sớm có thể phát hiện phần mềm độc hại xâm nhập vào hệ thống thông qua các bản cập nhật firmware.

Về lý thuyết, phần mềm độc hại lây nhiễm ở cấp độ firmware thường rất khó phát hiện vì nó được khởi chạy trước khi khởi động hệ điều hành. Công cụ quét UEFI mới của Microsoft được tạo ra để giải quyết vấn đề này, bằng cách chủ động tương tác trực tiếp với chipset bo mạch chủ và tiến hành đọc hệ thống tệp của firmware khi nó được khởi chạy.

Nhìn chung, công cụ mới này sẽ sử dụng các thành phần, giải pháp sau để triển khai quá trình phân tích động (dynamic analysis) ở cấp độ firmware:

• UEFI anti-rootkit, giúp tiếp cận firmware thông qua Serial Peripheral Interface.
• Trình quét đầy đủ hệ thống tập tin, giúp kiểm tra nội dung bên trong firmware.
• Công cụ phát hiện, giúp xác định mọi dấu hiệu của mã độc và hành vi độc hại trong firmware.

Trong trường hợp phần mềm độc hại được phát hiện ở cấp độ firmware, người dùng sẽ nhận được các cảnh báo bảo mật hiển thị trong Defender Security Center. Tại đây, hệ thống sẽ đưa ra kết quả phân tích mối đe dọa và thực hiện các bước thích hợp để ứng phó với hoạt động đáng ngờ trong hệ thống theo từng cấp độ.

Các nhóm bảo mật CNTT (cấp doanh nghiệp) cũng có thể sử dụng các khả năng quét nâng cao trong Microsoft Defender ATP để săn lùng những mối đe dọa phức tạp dạng này. Theo Microsoft, công cụ bảo mật mới nêu trên là một phần thiết yếu trong chính sách cải thiện hiệu quả bảo mật trong Microsoft Defender ATP, và người dùng hoàn toàn có thể mong đợi nhiều tính năng mới hấp dẫn như vậy trong tương lai. Microsoft Defender ATP hiện được cung cấp dưới dạng ứng dụng bảo mật mặc định trên tất cả các thiết bị Windows 10 và khi cài đặt hệ điều hành, công cụ antivirus này cũng sẽ tự động được kích hoạt.