Con el nombre Kernel Data Protection (KDP), Microsoft hace una declaración de intenciones. Esta característica impedirá que los actores de malware o amenazas malintencionados modifiquen el Kernel del sistema operativo.
Según Microsoft, KDP funciona dando a los desarrolladores acceso a API programáticas que les permitirán designar partes del kernel de Windows como secciones de solo lectura.
«Por ejemplo, hemos visto a los atacantes usar controladores firmados pero vulnerables para atacar las estructuras de datos de directivas e instalar un controlador malintencionado y sin firmar», dijo hoy el equipo de Kernel base de Microsoft. «KDP mitiga estos ataques al garantizar que las estructuras de datos de políticas no se puedan manipular».
La protección del Kernel más avanzada
Microsoft dice que esta nueva tecnología fue desarrollada teniendo en cuenta la seguridad, pero que también tiene otras aplicaciones, como el software anti-trampa y de gestión de derechos digitales (DRM). Además de mejorar la seguridad del sistema operativo, KDP también tiene otros beneficios, tales como:
- Mejoras en el rendimiento: KDP reduce la carga de los componentes de atestación, que ya no tendrían que verificar periódicamente las variables de datos que han sido protegidas contra escritura
- Mejoras en la confiabilidad: KDP facilita el diagnóstico de errores de corrupción de memoria que no representan necesariamente vulnerabilidades de seguridad
- Proporcionar un incentivo para que los desarrolladores y proveedores de controladores mejoren la compatibilidad con la seguridad basada en virtualización, mejorando la adopción de estas tecnologías en el ecosistema
Bajo el capó, Redmond dice que KDP trabaja en la parte superior de una nueva tecnología que la compañía ha estado trabajando en la adición a Windows 10. La tecnología, conocida como seguridad basada en virtualización (VBS, virtualization-based security), utiliza el hardware subyacente del equipo para aislar una región segura de memoria del sistema operativo normal dentro de un «modo seguro virtual».
KDP funciona tomando la marca de memoria del núcleo como de solo lectura y moviéndola dentro de un VBS «modo seguro virtual», donde no puede ser manipulada, incluso por el propio sistema operativo. Microsoft dice que la compatibilidad con VBS es el único requisito para usar KDP con una aplicación en Windows 10.
Cualquier equipo que admita VBS también admitirá KDP de forma inherente. Actualmente, VBS es compatible con cualquier equipo que admita:
- Extensiones de virtualización Intel, AMD o ARM
- Traducción de direcciones de segundo nivel: NPT para AMD, EPT para Intel, traducción de direcciones de etapa 2 para ARM
- Opcionalmente, el hardware MBEC, que reduce el costo de rendimiento asociado con HVCI
La próxima línea de PC de núcleo seguro de Microsoft también admite VBS de forma nativa. De hecho, Microsoft anticipó por primera vez de la característica KDP en el anuncio oficial de los PC de secured-core a principios de este año en marzo.
Actualmente, KDP ya está incluido con la última compilación de Windows 10 Insider. No hay una línea de tiempo de cuándo se incluirá en la versión estable principal de Windows 10.
