Windows 10: Defender ATP schützt nun auch gegen BIOS-Attacken

Microsoft hat der kostenpflichtigen Anti-Viren-Software Defender ATP (Advanced Threat Protection) eine Schutzfunktion gegen Angriffe mit bösartiger Firmware spendiert. Die Neuerung wurde in Kooperation mit AMD und Intel entwickelt.

Firmware-Scanner läuft im Hintergrund

Defender ATP kann laut einem Blogbeitrag unter Windows 10 ab sofort Unstimmigkeiten im Code von sowohl modernen UEFIs (Unified Extensible Firmware Interfaces) als auch veralteten BIOS-Ausgaben erkennen. Dafür liest eine neue Scanfunktion der Software über das sogenannte Serial Peripheral Interface (SPI) eines AMD- oder Intel-Chipsatzes den Inhalt des Flash-Speicherchips der Firmware aus.

Das Betriebssystem führt diese Defender-Sicherheitsscans automatisch bei Laufzeitereignissen wie einer Treiberinstallation durch. Wird durch das neue Feature irgendeine Auffälligkeit im ausgeführten BIOS eines Desktop-PCs oder Notebooks entdeckt, meldet dies das Sicherheitscenter von Windows 10.

BIOS-Attacken nehmen zu

Die erweiterte Funktionalität des Defender ATP kommt freilich nicht von ungefähr. Microsoft hat eigenen Angaben nach in den vergangenen Jahren mehr und mehr Angriffe auf die Firmware von PCs registrieren müssen. Zuverlässiger Schutz dagegen war bislang lediglich die Secure-Boot-Funktion neuerer PCs mit UEFI. Häufig ist die Funktion jedoch deaktiviert oder nicht richtig konfiguriert.

Besonders heikel an derartigen Attacken: Hat sich Schadsoftware im UEFI beziehungsweise BIOS eingenistet, können Angreifer vollkommen unbemerkt Zugriff auf ein System erlangen. Bisherige Sicherheitslösungen haben keine Möglichkeit, dies effektiv zu erkennen, da sie lediglich auf eventuell bereits manipulierte Daten der Firmware zugreifen konnten.

Zusätzlich Schutz durch spezielle UEFIs

Defender ATP ist Bestandteil von Windows 10 Enterprise und als solcher praktisch nur für Systemadministratoren von Unternehmen interessant. Microsoft ist sich dessen bewusst und versucht daher schon seit einer Weile die Markteinführung von sogenannten Secured-Core PCs voranzutreiben. Die Firmware dieser Rechner ist grundsätzlich besser gegen Manipulationen abgesichert. Dies wird durch spezielle Sicherheitsfunktionen in aktuellen CPUs von AMD, Intel und Qualcomm ermöglicht, die es erlauben, Firmware-Code zu überwachen.