Aggiornato:  | Nessun commento :

Analisi antivirus del Firmware UEFI (BIOS) con Windows Defender

Windows Defender adesso analizza anche il Firmware UEFI (BIOS) per trovare virus, rootkit e trojan con una analisi automatica o offline

Con l'aggiornamento di Maggio 2o2o dei sistemi operativi Microsoft alla versione 2004 di Windows 10, sono state introdotte delle nuove funzionalità. Alcune le abbiamo già viste, come il cursore colorato per gli editor di testo e come dettare in italiano in tutti i campi in cui si possa digitare con la tastiera.

Si può verificare quale sia la built di Windows 10 che sta girando nel computer, andando su Start -> Impostazioni -> Sistema -> Informazioni sul Sistema -> Specifiche Windows -> Versione per controllarne il numero.  Se si tratta della versione 2004 o superiore, allora è stata abilitata una nuova funzionalità nella Sicurezza della Microsoft. Come comunicato il 17 Giugno 2020, è stato aggiunto un nuovo livello di protezione, denominato Microsoft Defender Advanced Threat Protection (ATP).

In sostanza la protezione antivirus è stata estesa anche a livello di Firmware UEFI, quello che è il successore del BIOS. UEFI è l'acronimo di Unified Extensible Firmware Interface e consente ai produttori di integrare nel firmware della scheda madre, applicazioni e nuove funzionalità, fra cui strumenti per la diagnostica e il ripristino dei dati, servizi di crittografia e altre funzionalità. I creatori di malware focalizzano l'attenzione sempre più spesso verso il firmware UEFI piuttosto che verso il sistema operativo per rendere gli attacchi più invasivi.


I virus che colpiscono il firmware UEFI sono i cosiddetti rootkit che, agendo a monte del sistema operativo, sono molto difficili da estirpare. Le metodologie per combattere queste infezioni sono specificate nel Dynamic Root of Trust (DRTM). Il nuovo motore di scansione UEFI in Microsoft Defender ATP rende disponibile anche la scansione del firmware. Lo scanner UEFI è un nuovo componente della soluzione antivirus integrata su Windows 10 (versione 2004 o successive) e offre a Microsoft Defender ATP la capacità di eseguire la scansione all'interno del file system del firmware ed eseguire la valutazione della sicurezza.

Ho pubblicato sul mio Canale Youtube un video che illustra visivamente come funziona la scansione del firmware.



Il nuovo scanner UEFI legge il file system del firmware in fase di esecuzione, interagendo con il chipset della scheda madre. Per rilevare le minacce, esegue analisi dinamiche utilizzando più componenti che includono:

  1. UEFI anti-rootkit, che raggiunge il firmware tramite Serial Peripheral Interface (SPI)
  2. Scanner completo del filesystem, che analizza il contenuto all'interno del firmware
  3. Motore di rilevamento, che identifica gli exploit (tipo di malware) e i comportamenti dannosi.

I rilevamenti di pericoli per il computer sono riportati in Sicurezza di Windows nella Cronologia protezione.

cronologia della sicurezza di windows 10

Lo screenshot precedente è stato pubblicato come esempio dalla Microsoft. All'atto pratico si va nelle icone che si trovano nella Barra delle Applicazioni e si clicca su Sicurezza di Windows per aprirla. Alternativamente si va su Start -> Impostazioni -> Aggiornamento e Sicurezza -> Sicurezza di Windows -> Apri Sicurezza di Windows. Nella finestra della Sicurezza si clicca su Protezione da virus e minacce

protezione da virus e minacce windows

Cliccando su Cronologia della protezione visualizzeremo le minacce rilevate, tra cui ci potrebbe essere anche un malware presente nel firmware, come mostrato nello screenshot di esempio della Microsoft.

Se il comportamento del nostro computer non ci convince, o se siamo sicuri che nel PC sia presente un virus che non riusciamo a eliminare, possiamo forzare l'analisi del firmware UEFI da parte di Windows Defender

Si clicca sul link Opzioni di analisi per poi mettere la spunta su Analisi di Microsoft Defender Offline.

Si clicca su Avvia Analisi. Il computer sarà riavviato e, tra l'arresto e il riavvio, verrà analizzato il firmware UEFI per rilevare l'eventuale presenza di malware. Per più info si può leggere il post sulla analisi offline del PC.

Nessun commento :

Posta un commento

Non inserire link cliccabili altrimenti il commento verrà eliminato. Metti la spunta a Inviami notifiche per essere avvertito via email di nuovi commenti.
Info sulla Privacy