¿Qué son las computadoras de núcleo seguro y cómo protegen contra el malware?
Las PCs de núcleo seguro son una clase de computadoras diseñadas para frustrar los ataques de malware persistentes, especialmente aquellos que apuntan a vulnerabilidades fuera de los privilegios de control de Ring 0 de protección, como el malware de firmware. Los privilegios están más allá de lo que accedería un usuario normal.
Microsoft aprobó esta categoría de PCs con tecnologías de seguridad desarrolladas en conjunto con los principales fabricantes de computadoras y proveedores de chips de silicio. Entonces, ¿Qué son exactamente las PCs con núcleo seguro? ¿Y por qué las grandes empresas podrían usar una?
¿Por qué son tan seguras las computadoras de núcleo seguro?
Los componentes de las PCs de núcleo seguro funcionan en una estructura amalgamada holística para garantizar la integridad del firmware, hardware y software. Las máquinas son particularmente importantes para organizaciones como empresas, bancos, hospitales e instituciones estatales que manejan regularmente datos confidenciales.
En particular, se envían con protecciones habilitadas que solo pueden desconectar los especialistas autorizados de los respectivos proveedores de chips.
Microsoft ha colaborado con fabricantes de chips como Intel, AMD y Qualcomm para desarrollar chips de CPU dedicados a ejecutar comprobaciones de integridad para computadoras con núcleo seguro. Una vez integrados en la placa base, los chips manejan protocolos de seguridad que generalmente dependen del firmware.
El proceso de verificación implica la autenticación de hashes criptográficos para mantener la integridad del código.
Cómo las PC de núcleo seguro disuaden el software malicioso de firmware
Las computadoras de núcleo seguro están diseñadas para autenticar todas las operaciones involucradas durante y después del proceso de arranque. Debido a que las credenciales de su sistema están aisladas y bloqueadas para proteger los hashes criptográficos, el malware que intenta tomar el control de los protocolos críticos del sistema no puede obtener los tokens de autenticación.
Este nivel de seguridad es posible gracias a la integridad del código HyperVisor de Windows (HVCI) y la seguridad basada en la virtualización (VBS). HVCI opera bajo VBS y trabaja para mejorar la integridad del código de modo que solo los procesos verificados se ejecuten a través de la memoria del kernel.
VBS utiliza la virtualización basada en hardware para aislar los sectores de memoria seguros del sistema operativo. A través de VBS, es posible aislar procesos de seguridad vitales para evitar que se vean comprometidos. Esto es importante cuando se trata de limitar el daño, especialmente cuando hablamos de malware que se dirige a componentes del sistema con altos privilegios.
Evitan daños mayores
Además, las PCs de núcleo seguro utilizan el modo seguro virtual (VSM) de Microsoft. Esto funciona para proteger datos cruciales como las credenciales de usuario dentro de Windows. Esto significa que, en el raro caso de que el malware comprometa el kernel del sistema, el daño es limitado.
VSM puede crear nuevas zonas de seguridad dentro del sistema operativo durante tales instancias y mantener el aislamiento a través de Virtual Trust Levels (VTL), que funcionan en un nivel por partición.
En las computadoras de núcleo seguro, VSM aloja soluciones de disuasión de seguridad como Credential Guard, Device Guard y Trusted Platform Module (TPM) virtual.
El acceso a estos sectores VSM altamente reforzados es otorgado únicamente por el administrador del sistema. Este también controla el procesador de la Unidad de administración de memoria (MMU) y la unidad de administración de memoria de entrada-salida (IOMMU), que participa en el arranque.
Dicho esto, Microsoft ya tiene una experiencia significativa en la creación de soluciones de seguridad basadas en hardware; el baluarte de Xbox da testimonio de ello.
Los socios de núcleo seguro de Microsoft actuales incluyen Dell, Dynabook, Lenovo, HP, Getac, Fujitsu, Acer, Asus, Panasonic. Y, además la división Microsoft Surface de la compañía que se ocupa de computadoras personales.
Desventajas
Si bien las PCs de núcleo seguro tienen amplios refuerzos de seguridad basados en hardware, también requieren una variedad de auxiliares de seguridad basados en software. Funcionan como la primera línea de defensa durante un ataque de malware.
Un elemento de disuasión principal basado en software es Windows Defender, que implementa System Guard Secure Launch. Disponible por primera vez en Windows 10, utiliza el protocolo Dynamic Root of Trust for Measurement (DRTM) para iniciar procesos de arranque en código no verificado al iniciarse.
Poco después, toma el control de todos los procesos y los restaura a un estado de confianza. Esto ayuda a evitar problemas de arranque si el código UEFI ha sido manipulado y mantiene la integridad del código.
Para un arranque absolutamente seguro, Windows 10 viene con el modo S, que está diseñado para mejorar la seguridad y el rendimiento de la CPU. Mientras está en este modo, Windows solo puede cargar aplicaciones firmadas desde Microsoft Store. La navegación en este estado se limita a usar Microsoft Edge.
Los usuarios de computadoras con núcleo seguro también pueden mejorar la seguridad de la PC. Ellos pueden utilizar el Control de aplicaciones de Windows Defender (WDAC) para limitar los controladores que pueden ejecutarse en Windows 10. La función implementa políticas de controladores y software que solo permiten el funcionamiento de aplicaciones confiables.
Windows Hello es otra característica necesaria para mejorar la seguridad en PCs con núcleo seguro. Utiliza funciones de reconocimiento facial, PIN y desbloqueo de huellas dactilares para fortalecer la seguridad de inicio de sesión.
Windows Hello se basa en hardware biométrico especializado que incluye un lector de huellas digitales y sensores de infrarrojos. El hardware utiliza tecnología Trusted Platform Module (TPM) para proteger las credenciales.
Por qué Microsoft decidió desarrollar PCs con núcleo seguro
Microsoft ha invertido una cantidad significativa de dinero en la investigación y el desarrollo de computadoras con núcleo seguro. Las siguientes son algunas de las razones por las que la empresa priorizó el proyecto de seguridad.
La necesidad de proteger a las empresas contra el software malicioso de firmware
Las amenazas de ciberseguridad están evolucionando y, según un informe de Microsoft, los ataques se están volviendo más sofisticados. Destaca los hallazgos de un estudio realizado en 2021 y revela que más del 80% de las empresas en el mundo desarrollado han experimentado un ataque de firmware en los dos años anteriores.
Esto significa que muchas empresas en todo el mundo son vulnerables a los esquemas de explotación que aprovechan el malware de firmware.
Las vulnerabilidades de firmware son muy difíciles de detectar y eliminar una vez que se apoderan de un sistema. Además, la mayoría de las computadoras comparten el mismo código BIOS, por lo que las fallas de firmware descubiertas por los grupos de ciberdelincuentes se pueden aprovechar contra millones de computadoras en todo el mundo. Pueden aprovecharse independientemente de su marca o proveedor, de ahí la necesidad de computadoras con núcleo seguro.
Las PCs de núcleo resuelven problemas de firmware de periféricos
Los dispositivos con firmware sin firmar plantean importantes problemas de seguridad en las computadoras estándar. Los periféricos como las cámaras web son conocidos por ejecutar firmware anómalo que se puede utilizar para espiar a los usuarios. Sus controladores también pueden actualizarse sin el consentimiento del cliente, lo que aumenta los riesgos de que esto suceda.
La falta de estándares armonizados de seguridad de la industria es una de las principales razones por las que los ciberdelincuentes las vulneran durante los ataques de intrusión. Actualmente, los dispositivos vulnerables incluyen paneles táctiles, adaptadores Wi-Fi, cámaras web y USB Hubs. La mayoría de ellos carecen de hash criptográfico y verificación de firmware, que se utilizan en PCs con núcleo seguro.
La dificultad para armonizar su infraestructura de seguridad significa que es probable que la falla permanezca abierta durante muchos años. Actualmente, las computadoras con núcleo seguro son la mejor opción para las organizaciones que buscan evitar tales brechas de seguridad.
Microsoft trabaja en más soluciones de seguridad de firmware
Si bien Microsoft ha creado computadoras con núcleo seguro para frustrar el malware de firmware, también está trabajando en herramientas para ayudar a reducir los ataques en computadoras estándar. Su reciente adquisición de ReFirm Labs, el desarrollador de escáner de integridad de firmware de código abierto de Binwalk, es un paso en esta dirección.
Esperamos que el gigante tecnológico desarrolle más soluciones relacionadas en un futuro próximo.