Kernel Data Protection (KDP) rende Windows 10 più sicuro
Microsoft sta testando tramite le build Windows Insider una nuova funzionalità di sicurezza chiamata Kernel Data Protection (KDP) pensata per impedire la corruzione dei dati e rendere molto difficile la vita dei malintenzionati.
di Manolo De Agostini pubblicata il 12 Luglio 2020, alle 11:31 nel canale SicurezzaMicrosoft
Microsoft ha svelato una nuova caratteristica di Windows 10 che mira a contrastare gli attacchi informatici rendendo impossibile ai malintenzionati la modifica di parti sensibili della memoria kernel contenente dati di un PC. La funzionalità si chiama Kernel Data Protection, KDP in breve. Microsoft, tramite un post di Andrea Allievi, Senior Core OS Engineer, ha spiegato per filo e per segno perché è nato KDP, qual è il suo scopo e quali sono i benefici legati a questa novità.
KDP è stato progettato per bloccare attacchi che puntano a compromettere i sistemi Windows corrompendone la memoria contenente dati. La tecnologia è stata ideata per affiancare HVCI (hypervisor-protected code integrity), la quale permette a memoria contenente codice eseguibile di essere read-only (sola lettura). Alcuni tipi di malware, ad esempio, cercano di manipolare le sezioni contenenti dati usati da driver per installare un driver maligno nel computer da colpire. Questo è però solo un esempio, perché KDP può anche aiutare quando un attaccante modifica una sezione dati di un driver per ottenere code execution indiretta.
"KDP ha lo scopo di proteggere i driver e il software in esecuzione nel kernel di Windows (cioè il codice del sistema operativo stesso) dagli attacchi basati sui dati", ha scritto Allievi nel post. "[…] Di conseguenza, nessun software in esecuzione nel kernel NT (VTL0) sarà mai in grado di modificare il contenuto della memoria protetta".
"Ad esempio, abbiamo visto malintenzionati usare driver firmati ma vulnerabili per attaccare le policy del modulo di Code Integrity e installare un driver maligno non firmato. KDP mitiga questi attacchi assicurando che tale policy non possa essere compromessa". KDP si affida a un'altra funzionalità di basso livello chiamata VBS (Virtualization Based security) per la protezione dei dati. VBS usa le capacità di virtualizzazione native di Windows 10 per creare un ambiente protetto (che utilizza una sorta di mini macchina virtuale), e garantire al sistema operativo principale molteplici funzioni di sicurezza (HVCI, Hyperguard, SKCI, Secure Enclaves…).
Microsoft consentirà agli sviluppatori di interagire con KDP mediante un insieme di API. Oltre a rendere Windows più sicuro, KDP potrebbe migliorare le prestazioni e avere applicazioni utili per i partner, ad esempio chi realizza software dedicati alla cyber sicurezza o anti-cheat per i videogiochi. Un altro bonus è che aiuta gli sviluppatori a trovare bug nei programmi. "KDP rende più semplice diagnosticare i bug di corruzione della memoria che non necessariamente rappresentano vulnerabilità di sicurezza", ha sottolineato Allievi.
KDP è disponibile in test nell'ultima build Windows Insider. Per sfruttare la tecnologia è necessario un sistema che supporti la virtualizzazione VBS (nel 2020 è praticamente uno "standard"), nonché un paio di altre funzionalità hardware come la traduzione di secondo livello degli indirizzi e le estensioni di virtualizzazione di Intel, AMD o ARM. Queste funzionalità sono tra le diverse abilitate sui portatili di fascia alta parte dell'iniziativa Secured-Core PC di Microsoft.
34 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoche fare con 8/12 core con hypertreading?
appesantire il sistema operativo è chiaro una volta il browser erano 12 mb i driver 30mb ora aggiungete uno 0 per avere cosa?Ho capito che la "memoria contenente codice è read-only"...ma questo si faceva già prima, col bit NX.
Adesso pure sezioni critiche di dati. Ma questo dovrebbe essere compito di SGX e l'equivalente AMD. O sbaglio?
No...la virtualizzazione. Siccome il software moderno è leggero, aggiungiamo un altro livello di indirection. Altri spazi d'indirizzamento. Altre tabelle delle pagine. TLB invalidate a manetta. Branch predictor che non si mette le mani nei capelli.
Ma una speranza c'è e proprio Microsoft sta sperimentando abbastanza a fondo la soluzione. Si chiama Rust!
Ma Andrea è un utente del forum (sebbene scriva pochissimo), e magari chiarirà la questione.
Ho capito che la "memoria contenente codice è read-only"...ma questo si faceva già prima, col bit NX.
Adesso pure sezioni critiche di dati. Ma questo dovrebbe essere compito di SGX e l'equivalente AMD. O sbaglio?
No...la virtualizzazione. Siccome il software moderno è leggero, aggiungiamo un altro livello di indirection. Altri spazi d'indirizzamento. Altre tabelle delle pagine. TLB invalidate a manetta. Branch predictor che non si mette le mani nei capelli.
Ma una speranza c'è e proprio Microsoft sta sperimentando abbastanza a fondo la soluzione. Si chiama Rust!
Pensa che Rust stanno pensando di usarlo anche per i nuovi drivers su Linux . Torvalds non l'ha neanche escluso.
Comunque riguardo la virtualizzazione, mi sembra tanto che MS stia cercando di spostare il core di Windows a livello hypervisor.
L'idea di per se non sarebbe neanche male.
impediamo l'esecuzione di sofware, se non firmato da uno Store e blocchiamo la possibilità che l'utente possa eseguirlo forzatamente, magari firma con chiave hardware.. gestita da un chip.....
Faccina Ironica con Sottofondo colonna sonora di X-Files....
...mi ricorda il passato....
non solo intel.
https://www.hwupgrade.it/news/sicur...2019_90208.html
Comunque riguardo la virtualizzazione, mi sembra tanto che MS stia cercando di spostare il core di Windows a livello hypervisor.
L'idea di per se non sarebbe neanche male.
Yep, su 10X infatti le applicazioni classiche sono virtualizzate
Lo stesso modello è già usato anche su Xbox One: https://www.youtube.com/watch?v=U7VwtOrwceo
impediamo l'esecuzione di sofware, se non firmato da uno Store e blocchiamo la possibilità che l'utente possa eseguirlo forzatamente, magari firma con chiave hardware.. gestita da un chip.....
Faccina Ironica con Sottofondo colonna sonora di X-Files....
...mi ricorda il passato....
The return of Palladium?
oppure che non ha bisogno di avere
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".