[English]Microsoft hat eine neue Entwicklung, die Secured-Core-PCs mit zusätzlichem Schutz vor Firmware-Angriffen, vorgestellt. Dieser Standard wurde zusammen mit OEM-Anbietern definiert.
Anzeige
Ich wurde über den nachfolgenden Tweet von Dave Weston (Microsoft) auf die neue Entwicklung aufmerksam.
Very proud to announce Microsoft's secured-core PCs. These devices have virtualization-based security and Firmware/SMM hardware protection right out of the box. https://t.co/Z3LDJIFDKO
— Dave dwizzzle Weston (@dwizzzleMSFT) October 21, 2019
Die Details finden sich in diesem Microsoft-Blog-Beitrag – weitere Artikel finden sich z.B. auf neowin.net. In Kurz: Secured-Core-PCs sind Geräte, die eine Reihe von Sicherheitstechnologien verwenden, um Angriffe auf Firmware-Ebene zu verhindern. Microsoft will dazu einen softwarebasierten Schutz auf Betriebssysteme und in verbundene Dienste integrieren. Der Schritt wurde notwendig, da die Schwachstellen, die auf die Firmware abzielen, in den letzten Jahren stark zugenommen haben – von nur 6 im Jahr 2016 auf über 400 im Jahr 2017.
Secured-Core-PCs werden in Zusammenarbeit mit Microsoft-Partnern, sowohl PC- als auch Chip-Hersteller, entwickelt und müssen "eine Reihe spezifischer Geräteanforderungen, die die Sicherheits-Best-Practices der Isolierung und des minimalen Vertrauens auf die Firmware-Schicht oder den Gerätekern, der das Windows-Betriebssystem unterstützt, anwenden" erfüllen. Die Geräte richten sich an Unternehmen, die mit hochsensiblen Informationen umgehen, wie z.B. Finanzdienstleister, staatliche Institutionen und so weiter.
Anzeige
Diese Schutzfunktionen werden durch eine neue Funktion namens Dynamic Root of Trust for Measurement (DRTM) ermöglicht, die in aktueller Hardware von Intel, AMD und Qualcomm enthalten ist. Damit sollen Kunden diese zusätzliche Schutzschicht unabhängig von der Prozessorauswahl erhalten. Mit dieser Technologie verwenden Secured-Core-PCs System Guard Secure Launch als Kernfunktion, um Firmware-Angriffe während des Bootvorgangs zu verhindern. Andere Technologien wie Virtualization-based Security (VBS), Hypervisor-geschützte Code Integrity (HVCI) und das Trusted Platform Module (TPM) 2.0 ermöglichen einen zusätzlichen Schutz im gesamten Betriebssystem. Secured-Core-PCs sind bei einer Vielzahl von Hardwareherstellern erhältlich. Dazu gehört auch das neue Surface Pro X for Business. Ergänzung: heise hat diesen Artikel zum Thema mit einigen weiteren Informationen veröffentlicht.
Anzeige
Verhindert Microsoft damit auch die Installation von Linux?
Eine durchaus berechtigte Frage, wenn wir uns an die Einführung von UEFI erinnern.
Davon abgesehen: "Noch mehr Schutz" mit "noch komplizierterem" Unterbau? Tatsächlich? Ich gebe Brief und Siegel, daß die stetig fortschreitende Intransparenz noch bedeutend mehr unentdeckte Angriffe ermöglichen wird.
Ich bin da eher für das K.I.S.S.-Prinzip und Aufgaben-/Gewaltenteilung der Systeme. Solange diese transparent arbeiten, kann man einen Schutz sicherstellen.
Ja. Das ist auch der Grund warum hier entwickelt wird
Eine Hand voll OEMs macht noch keinen Standard, aber der letzte Absatz ist mal wieder eine Bereicherung für jedes BS-Bingo-Lexikon. 😁
Abgesehen davon läuft brain.exe nach wie vor ungeschützt im Fehler-40-Speicher der PEBKAC-Einheit und somit immer noch eine dicke fette Lücke, egal was für Arbeitsverhinderungsmaßnahmen sich da Microsoft da aus dem Schnapsideenmülleimer fischt. 😜
Nur noch komplizierter. Schon der UEFI Boot hat zu genügend Problemen geführt. Deshalb ist es bei mir abgeschaltet.
Meines Erachtens ist die Firmware eines modern PCs viel zu komplex. Je weiter man das alles aufbläht desto größer wird die Gefahr von Softwarefehlern.
Früher hat das Bios mal auf eine 1,44MB Diskette gepasst. Bei vielen Bords war der Chip gesockelt und konnte per Programmiergerät nach fehlgeschlagenen Updates neu Programmiert werden.
Ich warte nur darauf das hier im Blog der erste Beitrag über gebrickte Geräte nach einem Updates auftaucht.