Windows10安全核心PC可以阻止滥​​用驱动程序的恶意软件 微软表示，Windows 10安全核心PC可以成功防御恶意软件，这些恶意软件旨在利用驱动程序安全漏洞来禁用安全解决方案。

　　“包括RobbinHood，Uroburos，Derusbi，GrayFish和Sauron在内的多种恶意软件攻击，以及威胁演员STRONTIUM的攻击，都利用了驱动程序漏洞(例如CVE-2008-3431，CVE-2013-3956，CVE-2009-0824，CVE-2010-1592等)以获取内核特权，并在某些情况下有效地禁用受感染计算机上的安全代理。”

　　但是，根据Microsoft的说法，如果您使用的是安全内核PC，它具有内置的防御固件攻击的能力，则可以防御端点设备的这种攻击，而固件攻击已被国家赞助的黑客攻击和商品恶意软件越来越多地使用。

　　安全核心PC的发布是针对攻击者可用来绕过Windows计算机的安全启动的越来越多的固件安全问题以及当今端点安全解决方案中普遍存在的固件级别缺乏可见性的解决方案。

　　恶意软件滥用易受攻击的固件和驱动程序“除了易受攻击的驱动程序之外，还有一些设计易受攻击的驱动程序(也称为“虫洞驱动程序”)，它们可以通过直接访问内核级任意内存读取/写入来破坏平台的安全性承诺。 ，MSR”，微软补充道。

　　“在我们的研究中，我们确定了50个已经发布了许多此类蠕虫驱动程序的供应商。我们积极与这些供应商合作，并制定补救这些驱动程序的行动计划。”

　　威胁参与者滥用固件漏洞的一个例子是俄罗斯支持的APT28网络间谍组织(也被追踪为Tsar团队，Sednit，Fancy Bear，Strontium和Sofacy)，在攻击期间使用了称为LoJax的统一可扩展固件接口(UEFI)rootkit。它的一些2018年业务。

　　最近，RobbinHood Ransomware背后的操作员利用了一个易受攻击的GIGABYTE驱动程序来提升特权并安装恶意的未签名Windows驱动程序，从而使他们可以在受到感染的系统上终止防病毒和安全软件进程。

　　Sophos当时的研究人员解释说：“在这种攻击情况下，犯罪分子将Gigabyte驱动程序用作楔形，以便他们可以将第二个未签名的驱动程序加载到Windows中。”

　　“然后，第二个驱动程序竭尽全力杀死了属于端点安全产品的进程和文件，绕过了篡改保护，使勒索软件能够不受干扰地进行攻击。”

　　这种策略使攻击者能够在部署用于加密受害者文档的勒索软件可执行文件之前杀死杀毒软件，从而绕过反勒索软件的防御。

　　到目前为止，Sophos尚无法完全分析该勒索软件样本，因此，目前尚不了解所针对的进程和服务。

　　安全核心PC具有内置保护但是，正如微软所说，Windows 10具有硬件和固件保护功能，可以成功抵御诸如Lojax和RobbinHood Ransomware感染受害者的攻击。

　　此外，Microsoft在2019年10月与OEM合作伙伴Lenovo，HP，Dell，Panasonic，Dynabook和Getac合作推出的安全核心PC可以阻止固件级别的攻击，因为它们具有默认情况下启用的这些硬件支持的安全功能。用户需要手动进行所需的BIOS和OS设置更改。

　　Microsoft补充说：“由于这些设备都可以直接使用BIOS设置和OS设置，因此为客户消除了在现场启用这些功能的负担。”在所有Secured-core PC上都启用了以下功能：