Windows Defender è adesso capace di esaminare il contenuto del BIOS UEFI

L’antimalware integrato in Windows 10, Windows Defender, è migliorato significativamente nel corso degli ultimi anni tanto da mettersi in particolare evidenza per quanto riguarda abilità di scansione e capacità di rilevamento e blocco delle minacce (con un numero estremamente ridotto di falsi positivi).

Di recente, con l’arrivo di Windows 10 Aggiornamento di maggio 2020 (versione 2004), Windows Defender il sistema operativo propone anche una nuova opzione, accessibile digitando Controllo delle app e del browser nella casella di ricerca (voce Impostazioni di protezione basate sulla reputazione, Blocco app potenzialmente indesiderate), che consente di attivare da interfaccia grafica il riconoscimento degli eventuali componenti indesiderati (PUP) presenti nei software che si installano: Windows 10 si arricchisce della protezione contro i software potenzialmente indesiderati.
Tale funzionalità è attivabile (anche nelle precedenti release di Windows 10) con un comando PowerShell o un semplice intervento sulla configurazione del registro di sistema: Programmi inutili o dannosi: come attivare la protezione segreta di Windows 10.

Soprattutto sui sistemi dotati di una configurazione hardware non particolarmente brillante, tuttavia, Windows Defender in alcuni casi può determinare un uso importante della CPU e delle altre risorse macchina: per fortuna che si può risolvere il problema con una semplice modifica (Windows Defender: cosa fare quando occupa troppa CPU).

La novità, appena comunicata dal team Microsoft Defender ATP, è che Windows Defender diventa adesso in grado di esaminare il contenuto del BIOS UEFI e in generale del firmware del dispositivo in uso, aree in cui le minacce più evolute (i.e. rootkit) possono nascondersi per passare inosservate agli utenti, al sistema operativo e alle soluzioni per la sicurezza.

L’infezione del BIOS UEFI è, soprattutto nel caso di obiettivi di elevato profilo, una tattica sempre più utilizzata dai criminali informatici per restare costantemente under the radar. Anche formattando il sistema e reinstallando integralmente il sistema operativo, il malware resterà presente a livello firmware e sarà sempre ricaricato in memoria.

Windows Defender è adesso capace di rilevare e bloccare anche le minacce che agiscono a più basso livello. La rimozione a livello di BIOS UEFI/firmware non potrà ovviamente essere effettuata da Windows Defender: dovrà invece procedere manualmente l’utente procedendo con il flashing.

L’antimalware di Microsoft effettua non soltanto un’analisi del BIOS UEFI ma attiva una costante verifica a livello comportamentale in modo tale che le minacce più sfuggenti possano essere tempestivamente rilevate anche sulla base delle operazioni da esse poste in campo.

Nell’articolo Windows Defender: svelate tutte le impostazioni nascoste abbiamo visto come l’interfaccia di Windows 10 non esponga la totalità delle opzioni di configurazione dell’antimalware Microsoft. Un’utilità di terze parti le fa emergere tutte.