KDP: Windows 10 combatterà il malware blindando parti del kernel

In futuro Windows 10 integrerà una funzione di sicurezza sviluppata per bloccare i malware. Isola parti del kernel rendendole accessibili in sola lettura anche al sistema operativo stesso.

Autore: Redazione SecurityOpenLab

Presto Windows 10 integrerà una nuova tecnologia di sicurezza battezzata Kernel Data Protection (KDP), atta a prevenire il danneggiamento dei dati. Il motivo per il quale si rende necessaria è spiegato nelle anticipazioni diffuse dal Base Kernel Team di Microsoft: "i cyber criminali, ostacolati da tecnologie di sicurezza che impediscono la corruzione della memoria, come Code Integrity e Control Flow Guard, stanno probabilmente spostando il loro interesse verso il danneggiamento dei dati".

Si reputano quindi necessarie delle nuove tecniche capaci di bloccare malware e altre minacce, così da prevenire la corruzione dei dati proteggendo parti del kernel e dei driver di Windows tramite la sicurezza basata sulla virtualizzazione (VBS).

In sintesi, KDP è un insieme di API che consente di contrassegnare la memoria del kernel come di sola lettura, impedendo ai criminali informatici di modificare aree della memoria protette da politiche di accesso che non possono essere manomesse. Un caso tipico che KDP potrebbe ostacolare è l'impiego di driver firmati, ma vulnerabili, per installare un driver dannoso, non firmato.
Oltre a tutelare la cyber security, questa tecnologia dovrebbe garantire una maggior protezione anti-cheat e di rispetto dei DRM. Non finisce qui. Microsoft promette un miglioramento delle prestazioni, perché riduce l'onere sui componenti di attestazione. In pratica, visto che i dati sono protetti dalla scrittura, non sarebbe più necessario verificare periodicamente le variabili.

KDP dovrebbe anche semplificare la diagnosi dei bug di danneggiamento della memoria, e incentivare sviluppatori e fornitori affinché migliorino la compatibilità con la sicurezza basata sulla virtualizzazione.

Sicurezza basata sulla virtualizzazione

Come accennato sopra, KDP fa capo a a una nuova tecnologia VBS che l'azienda intende aggiungere a Windows 10. Quello che fa è sfruttare l'hardware del computer per isolare un'area protetta della memoria all'interno di una "modalità virtuale protetta".

Tale area, il VBS, è isolata anche dal sistema operativo, pertanto non può essere manomessa nemmeno dal sistema operativo stesso. VBS sarà un requisito sine qua non per poter beneficiare di KDP su Windows 10. Questo significa che qualsiasi computer che supporta VBS supporterà per conseguenza anche KDP.

Quali sono, quindi, i computer che supportano VBS? Tutti quelli già in circolazione che dispongono delle estensioni di virtualizzazione Intel, AMD o ARM. Che hanno gli strumenti per la conversione di indirizzi di secondo livello (NPT per AMD, EPT per Intel). Facoltativamente, quelli con hardware MBEC (Mode Based Execution Control).

Sul piano software, KDP è già incluso nella release di Windows 10 Insider Build. Non ci sono al momento indicazioni sulla sua integrazione nella versione commerciale di Windows 10.

Visualizza la versione completa sul sito

Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.