مایکروسافت با اضافه کردن یک اسکنر رابط میانافزار توسعهپذیر یکپارچه (UEDI) قابلیتهای محافظت Defender Advanced Threat Protection (ATP) خود را توسعه داده است. با افزایش حملات میانافزاری و سختافزاری در طول چند سال گذشته، مایکروسافت تصمیم گرفته است که قابلیتهای راهکار امنیتی خود را برای تأمین امنیت کاربران توسعه دهد.
این غول فناوری دو سال پیش Windows Defender System Guard را معرفی کرد تا با تضمین بوت امن از حملات سطح میانافزار جلوگیری کند. درحالحاضر این شرکت با اضافه کردن یک موتور اسکن UEFI در Defender ATP مایکروسافت که امکان اسکن میانافزار را فراهم میکند، به دنبال تقویت راهکارهای محافظتی خود است. این اسکنر با استفاده از رویکرد تولیدکنندگان تراشه در راهحلهای ضدبدافزاری داخلی ویندوز ۱۰ تعبیه میشود و Defender ATP مایکروسافت را قادر میسازد که سیستم فایل میانافزار را اسکن کند و ارزیابیهای امنیتی را انجام دهد.
مایکروسافت بیان میکند که UEFI بهعنوان جایگزینی برای BIOS معمولاً از سطح سیستم عامل قابل دسترسی نیست و تشخیص حملات را در آن دشوار میسازد. بااینحال، درصورتیکه UEFI بهدرستی پیکربندی شود و بوت امن فعال باشد، میانافزار از نظر منطقی امن است. در غیر این صورت مهاجمان میتوانند درایورهای UEFI را تغییر دهند یا میانافزار را دستکاری کنند و درنهایت کنترل دستگاهها را به دست گیرند.
مایکروسافت تشریح کرد که هنگام راهاندازی، اسکنر UEFI با تراشهی مادربورد تعامل برقرار میکند تا سیستم فایل میانافزار را بخواند که این کار امکان بررسی محتوای میانافزار را در زمان اجرا فراهم میکند.
این راهحل با استفاده از مؤلفههایی مانند یک UEFI anti-rootkit، اسکنر کامل سیستم فایل و یک موتور تشخیص، تجزیه و تحلیل پویا را انجام میدهد. اسکن میانافزار توسط رویدادهای زمان اجرا مانند بارگیری درایور مشکوک و از طریق اسکنهای دورهای سیستم هماهنگ میشود.
تشخیصهای صورتگرفته، در Windows Security و در بخش تاریخچهی Protection گزارش میشود. این تشخیصها برای مشتریان Defender ATP مایکروسافت در Microsoft Defender Security Center در دسترس خواهد بود تا امکان بررسی و پاسخ سریع به حملات میانافزار و فعالیتهای مشکوک در سطح میانافزار را فراهم کند. مایکروسافت نتیجهگیری میکند که با اسکنر UEFI آن Defender ATP مایکروسافت از دید فراتری نسبت به تهدیدات در سطح میانافزار برخوردار میشود. این سطح دید در Microsoft Threat Protection (MTP) نیز وجود دارد که یک راهکار دفاعی cross-domain گستردهتری را ارائه میدهد.
