La nuova frontiera della sicurezza Microsoft con hardware specifico integrato nella CPU.
Ne abbiamo parlato giusto qualche giorno fa in occasione di nuovi requisiti hardware minimi e consigliati che saranno richiesti e necessari per installare future versioni di Windows e oggi Microsoft ci fa entrare nel dettaglio di Pluton, la nuova architettura di sicurezza che equipaggerà i prossimi dispositivi con chip integrato direttamente nella CPU.
Alla scoperta di Microsoft Pluton
Mostrato al Mobile World Congress 2022 di Barcellona, il Lenovo ThinkPad X13s, realizzato con Qualcomm Snapdragon 8cx Gen 3, è la prima piattaforma ARM per Windows basata sull'architettura di sicurezza Microsoft Pluton. Pluton è al centro delle funzionalità di sicurezza per Windows 11 fornendo protezione nei processi di avvio, identità , protezione delle credenziali e crittografia. Pluton supporta anche lo zero trust da chip a cloud usando il servizio di attestazione di Azure con Intune. Oltre all'integrazione di Pluton, il Lenovo ThinkPad X13s è anche un PC con core protetto certificato, che offre le migliori funzionalità di sicurezza possibili per Windows 11 fin da subito.
Pluton fornisce sicurezza dal chip al cloud
Microsoft Pluton è un'architettura di processore di sicurezza, sperimentata in Xbox e Azure Sphere, progettata per archiviare dati sensibili, come le chiavi di crittografia, in modo sicuro con hardware integrato nella CPU di un dispositivo. Ciò rende l'accesso più difficile per gli aggressori, anche se hanno il possesso fisico di un dispositivo.
I PC Windows 11 basati sulla più recente piattaforma di elaborazione Snapdragon 8cx Gen 3 di Qualcomm, con Qualcomm Secure Processing Unit (SPU), sfrutteranno le funzionalità hardware avanzate di Microsoft Pluton e Pointer Authentication Codes (PAC). Pluton sfrutterà le capacità hardware avanzate mentre le contromisure di sicurezza integrate di PAC proteggeranno dai modelli di exploit comuni per aiutare i clienti a rafforzare la loro posizione di sicurezza dei dispositivi. Su PC Windows 11 come Lenovo ThinkPad X13s realizzato con la piattaforma di elaborazione Qualcomm Snapdragon 8cx Gen 3, Pluton fornirà ai clienti:
Aggiornamenti di sicurezza forniti dal cloud a Pluton
- Oltre al supporto per i controlli standard del settore, Microsoft aiuterà a mantenere aggiornato il firmware del processore di sicurezza Pluton attraverso il processo di Windows Update.
Resistenza all'attacco fisico
- Dato che Pluton è sul punto di morire del System on a Chip (SoC) del dispositivo, i vettori di attacco come le interfacce bus che passano i dati tra il SoC e altri componenti su una scheda madre non sono esposti ad attacchi fisici.
Sicurezza affidabile e comprovata costruita insieme ai nostri partner
- Basato su approcci e tecnologie utilizzati in Xbox e Azure Sphere, Pluton è il risultato di anni di collaborazione tra Microsoft e Qualcomm Technologies e gli altri partner dell'ecosistema. Oltre ad altre lezioni apprese da Xbox che sono state incorporate nei PC con core protetto che aiutano a ridurre del 60% le istanze di malware e le linee di base dell'hardware di Windows 11, Pluton aiuta a proteggere i dati sensibili e ad aggiungere visibilità al processo di avvio in modi a prova di manomissione.
L'autenticazione del puntatore ARM nel QC 8CX G3 aiuta i clienti a stare al passo con gli exploit zero-day
Con exploit zero-day rivolti ai problemi di sicurezza della memoria che hanno raggiunto numeri record nel 2021, Microsoft ha continuato a investire in mitigazioni contro le fonti di vulnerabilità , inclusa la collaborazione con fornitori di silicio per lanciare nuove funzionalità come gli shadow stack hardware che aiutano a interrompere le comuni tecniche di exploit zero-day. La funzionalità di protezione dello stack hardware (HSP) in Windows 11 sfrutta il supporto hardware per archiviare in modo efficiente gli indirizzi di ritorno in uno stack ombra insieme allo stack di chiamate software in tutti i programmi. Questo aiuta ad affrontare un attacco comune negli exploit zero-day in cui lo stack software viene modificato o dirottato per eseguire codice dannoso. Con la funzione HSP, lo stack software deve corrispondere agli indirizzi di ritorno archiviati nell'hardware. In caso di mancata corrispondenza, un processo viene terminato in modo sicuro dal sistema operativo, impedendo un attacco riuscito.
Con Windows 11 su Snapdragon 8cx Gen 3, la funzionalità hardware di autenticazione del puntatore ARM fornisce un'attenuazione robusta simile contro gli exploit che sfruttano la programmazione orientata al ritorno (ROP) o le tecniche di modifica dello stack sui sistemi Windows basati su ARM.
I binari di Windows vengono compilati con le istruzioni del codice di autenticazione del puntatore, iniettando un hash (il PAC) per gli indirizzi di ritorno nel prologo della funzione e verificando l'hash immediatamente prima del ritorno della funzione per verificare che l'indirizzo di ritorno non sia stato manomesso. Windows 11 utilizza gli schemi hardware Snapdragon 8cx Gen 3 per generare e verificare il PAC per fornire resilienza contro gli attacchi che sovrascrivono l'indirizzo di ritorno previsto. Questo aiuta a rompere una tecnica comune utilizzata dagli aggressori per tentare di eseguire codice dannoso.
Windows 11 e Snapdragon 8cx Gen 3 offrono funzionalità avanzate come Microsoft Pluton, protezione del firmware Secured-core e ARM Pointer Authentication, che insieme forniscono il miglior livello di protezione per i PC Windows. Con dispositivi come Lenovo ThinkPad X13s con Windows 11, i clienti possono lavorare e giocare ovunque con maggiore tranquillità , sapendo che la protezione è integrata dal chip al cloud per tenere a bada gli aggressori.