微软联合PC业者防止固件恶意程式

有鉴于固件成为今日恶意程式下手对象的情形愈来愈普遍，微软周一宣布透过和硬件厂商合作推出具新安全功能的Secured core PC，防止电脑遭固件恶意程式骇入。

根据美国国家标准与技术研究所（National Institutional Standards and Technology, NIST）的国家漏洞数据库数据，过去三年内固件漏洞成长了5倍。这是因为固件是用于发动装置硬件，比OS 或hypervisor具有更高存取权限，而成为骇客眼中的好目标。攻击固件可以突破Secure Boot和其他OS及Hypervisor软件实作的安全功能，在系统被骇时难以侦测到。此外，由于固件位于OS之下，端点防护软件看不太到固件层，使恶意程式更容易躲藏。2018年底，安全研究人员就发现骇客组织Strontium骇入固件漏洞散布恶意程式。

事实上，微软早就实作固件恶意程式的防护。Windows 8起，微软推出Secure Boot技术来防止利用UEFI（Unified Extensible Firmware Interface）固件的恶意开机程式和rootkit。但是这项技术的前提是信任固件来验证开机程式，因此无法防堵骇入受信任固件漏洞的恶意程式。为此，微软和电脑制造商及芯片业者合作设计更进阶的硬件安全计划，称为Secured-core PC。

利用AMD、Intel及高通芯片新的动态可信度量根（Dynamic Root of Trust for Measurement，DRTM）功能，Windows 10 Secured –core PC开机将经过一个“系统防护安全启动”（System Guard Secure Launch）的过程，借此防止固件攻击的开机行程。当系统开机时，处理器的DRTM启动并呼叫Windows 开机程式，使系统进入可信任、经验证的code path，之后再立刻运用固件启动系统。微软指出，Secure Launch机制旨在减少对固件的信任，能更有效防堵入侵固件的网络威胁。

这种设计也能确保hypervisor实作的虚拟层安全（virtual-based security，VBS）的完整性。之后VBS就可靠hypervisor和OS其余部分隔离开来，防止有恶意程式利用权限升级破坏虚拟层的安全性，进而确保微软Windows Defender Credential Guard这类防护，后者可保护OS身份验证，以及HVCI （Hypervisor-protected Code Integrity）政策被恶意程式窜改，造成敏感资料外泄等危害。

微软也透过和PC厂商合作Secured-core PC，锁定涉及处理敏感资料的特定产业，像是-、金融及健康照护业推出更高阶的PC产品。这类PC搭载的Windows 10 Pro除了现有内建防火墙、Secure Boot、档案层资料外泄防护功能、TPM（Trusted Platform Module）2.0 之外，再加入Secure Launch机制。

目前参与Secured-core PC计划的PC品牌包括Dell、Dynabook、HP、Lenovo、Panasonic及微软Surface。