Les serveurs à cœur sécurisé aident à prévenir les attaques de ransomware

Microsoft: Secured-core servers help prevent ransomware attacks

Microsoft affirme que les premiers appareils Windows Server certifiés Secured-core et Microsoft Azure Stack HCI sont désormais disponibles pour protéger les réseaux des clients contre les menaces de sécurité, y compris les attaques de ransomware.

Les appareils à noyau sécurisé sont commercialisés comme une solution au nombre croissant de vulnérabilités de micrologiciel que les attaquants peuvent exploiter pour contourner le démarrage sécurisé d’une machine Windows et le manque de visibilité au niveau du micrologiciel dans les solutions de sécurité des terminaux d’aujourd’hui.

Tous les appareils Secured-core sont dotés d’une protection intégrée contre les menaces qui abusent des failles de sécurité du micrologiciel et des pilotes depuis octobre 2019. Ils peuvent aider à se défendre contre les logiciels malveillants conçus pour tirer parti des failles de sécurité des pilotes pour désactiver les solutions de sécurité.

Capacités de blocage du vol d’identifiants

Les serveurs Secured-core nouvellement certifiés utilisent Démarrage sécurisé et le Module de plate-forme de confiance 2.0 pour s’assurer que seuls les utilisateurs de confiance pourront se charger au démarrage.

Ils s’appuient également sur Mesure dynamique de la racine de confiance (DRTM) pour lancer le système d’exploitation dans un état de confiance, bloquant ainsi les tentatives de falsification du système par les logiciels malveillants.

Les serveurs à noyau sécurisé utilisent également Intégrité du code protégé par l’hyperviseur (HVCI) pour bloquer le lancement de tous les exécutables et pilotes (tels que Mimikatz) non signés par des autorités connues et approuvées.

« De plus, puisque Sécurité basée sur la virtualisation (VBS) est activé par défaut, les administrateurs informatiques peuvent facilement activer des fonctionnalités, telles que Garde d’accréditation, qui protègent les informations d’identification dans un environnement isolé et invisible pour les attaquants », a déclaré Microsoft.

En bloquant les tentatives de vol d’informations d’identification, les serveurs à noyau sécurisé peuvent rendre beaucoup plus difficile pour les acteurs malveillants (y compris les gangs de rançongiciels tels que REvil) de se déplacer latéralement sur le réseau, arrêtant ainsi leurs attaques avant qu’ils ne puissent gagner en persistance et déployer leurs charges utiles.

Par exemple, les serveurs Secured-core auraient empêché les opérateurs RobbinHood Ransomware d’exploiter un pilote GIGABYTE vulnérable pour élever les privilèges et installer des pilotes Windows malveillants non signés.

Cela a permis de mettre fin aux processus antivirus et logiciels de sécurité sur les systèmes compromis pour contourner les défenses anti-ransomware et déployer leurs charges utiles sur le réseau de la victime.

Flux d'attaque de ransomware REvil
Flux d’attaque de ransomware REvil (Microsoft)

Serveurs exécutant Azure Stack HCI et Windows Server

Des dizaines de modèles dotés de la fonctionnalité de serveur Secured-core sont désormais disponibles dans le Catalogue Azure Stack HCI et le Catalogue Windows Server listes.

Vous pouvez gérer la configuration et l’état des serveurs avec tous les clients Windows du réseau via l’application Windows Admin Center déployée localement et basée sur un navigateur.

« L’interface utilisateur de Windows Admin Center vous permet de configurer facilement les six fonctionnalités qui englobent le serveur à cœur sécurisé : intégrité du code renforcée par l’hyperviseur, protection de l’accès direct à la mémoire au démarrage (DMA), protection du système, démarrage sécurisé, sécurité basée sur la virtualisation et module de plate-forme de confiance 2.0″, Microsoft ajoutée.

Redmond a annoncé pour la première fois que Windows Server 2022 étendrait Secured-core à la plate-forme Windows Server lorsque la nouvelle version est entrée en préversion en mars.