Kernel Data Protection (KDP) rende Windows 10 più sicuro

Microsoft ha svelato una nuova caratteristica di Windows 10 che mira a contrastare gli attacchi informatici rendendo impossibile ai malintenzionati la modifica di parti sensibili della memoria kernel contenente dati di un PC. La funzionalità si chiama Kernel Data Protection, KDP in breve. Microsoft, tramite un post di Andrea Allievi, Senior Core OS Engineer, ha spiegato per filo e per segno perché è nato KDP, qual è il suo scopo e quali sono i benefici legati a questa novità.

KDP è stato progettato per bloccare attacchi che puntano a compromettere i sistemi Windows corrompendone la memoria contenente dati. La tecnologia è stata ideata per affiancare HVCI (hypervisor-protected code integrity), la quale permette a memoria contenente codice eseguibile di essere read-only (sola lettura). Alcuni tipi di malware, ad esempio, cercano di manipolare le sezioni contenenti dati usati da driver per installare un driver maligno nel computer da colpire. Questo è però solo un esempio, perché KDP può anche aiutare quando un attaccante modifica una sezione dati di un driver per ottenere code execution indiretta.

KDP ha lo scopo di proteggere i driver e il software in esecuzione nel kernel di Windows (cioè il codice del sistema operativo stesso) dagli attacchi basati sui dati”, ha scritto Allievi nel post. “[…] Di conseguenza, nessun software in esecuzione nel kernel NT (VTL0) sarà mai in grado di modificare il contenuto della memoria protetta“.

“Ad esempio, abbiamo visto malintenzionati usare driver firmati ma vulnerabili per attaccare le policy del modulo di Code Integrity e installare un driver maligno non firmato. KDP mitiga questi attacchi assicurando che tale policy non possa essere compromessa”. KDP si affida a un’altra funzionalità di basso livello chiamata VBS (Virtualization Based security) per la protezione dei dati. VBS usa le capacità di virtualizzazione native di Windows 10 per creare un ambiente protetto (che utilizza una sorta di mini macchina virtuale), e garantire al sistema operativo principale molteplici funzioni di sicurezza (HVCI, Hyperguard, SKCI, Secure Enclaves…).

Microsoft consentirà agli sviluppatori di interagire con KDP mediante un insieme di API. Oltre a rendere Windows più sicuro, KDP potrebbe migliorare le prestazioni e avere applicazioni utili per i partner, ad esempio chi realizza software dedicati alla cyber sicurezza o anti-cheat per i videogiochi. Un altro bonus è che aiuta gli sviluppatori a trovare bug nei programmi. “KDP rende più semplice diagnosticare i bug di corruzione della memoria che non necessariamente rappresentano vulnerabilità di sicurezza”, ha sottolineato Allievi.

KDP è disponibile in test nell’ultima build Windows Insider. Per sfruttare la tecnologia è necessario un sistema che supporti la virtualizzazione VBS (nel 2020 è praticamente uno “standard”), nonché un paio di altre funzionalità hardware come la traduzione di secondo livello degli indirizzi e le estensioni di virtualizzazione di Intel, AMD o ARM. Queste funzionalità sono tra le diverse abilitate sui portatili di fascia alta parte dell’iniziativa Secured-Core PC di Microsoft.