Nuova protezione antimalware per Windows 10: Microsoft al lavoro su KDP

Microsoft ha pubblicato i dettagli tecnici circa il funzionamento di una nuova funzionalità di sicurezza che presto debutterà in Windows 10. Battezzata Kernel Data Protection (KDP), si tratta di uno strumento che scongiurerà la modifica del contenuto della memoria da parte dei componenti malware.

Stando a quanto rivelato dai tecnici dell’azienda di Redmond, utilizzando KDP gli sviluppatori software potranno decidere quali porzioni del kernel di Windows dovranno essere impostate come a sola lettura.

KDP aiuta a evitare che le strutture di sistema contenenti i dati non possano essere in alcun modo modificate, ad esempio facendo leva su driver firmati vulnerabili.

Oltre a rafforzare la sicurezza del sistema, KDP introdurrà ulteriori benefici in termini di miglioramento delle prestazioni e dell’affidabilità offrendo anche un incentivo a rendere i software più compatibili con le soluzioni basate sulla virtualizzazione.
La tecnologia KDP, infatti, è stata sviluppata partendo dal concetto di Virtualization-based Security (VBS): l’hardware sottostante viene utilizzato per isolare una regione sicura della memoria dal resto del sistema operativo gestita quindi all’interno di un’area virtualizzata protetta.

KDP funziona spostando il contenuto della memoria del kernel di sola lettura all’interno dell’area virtualizzata protetta (virtual secure mode) gestita attraverso VBS. Qui i dati non potranno essere altari, neppure dal sistema operativo stesso.

Ogni computer in grado di supportare VBS potrà automaticamente utilizzare KDP con le nuove future versioni di Windows 10.
Al momento, spiegano i tecnici di Microsoft, VBS è compatibile con i sistemi Intel, AMD e ARM dotati delle estensioni per la virtualizzazione e del supporto per SLAT (second-level address translation), commercializzato da Intel con il nome Extended Page Tables (EPT), da AMD come Rapid Virtualization Indexing (RVI, ex “Nested Page Tables“), da ARM come “Stage 2 address translation“.

SLAT non è una tecnologia “nata ieri” (se ne parla almeno dal 2008) ed è già ampiamente utilizzata dagli hypervisor per eseguire alcune funzioni avanzate legate alla gestione della memoria delle macchine virtuali e ridurre l’overhead nella traduzione degli indirizzi fisici usati nei sistemi “guest” in indirizzi fisici reali. L’obiettivo è quello di ridurre significativamente il tempo di utilizzo della CPU e ridurre lo spreco di memoria per le varie macchine virtuali.

Come “tip“, diciamo che per verificare la compatibilità dei propri sistemi basta scaricare l’utilità Microsoft Coreinfo, estrarla in una cartella di propria scelta, quindi aprire il prompt dei comandi con i diritti di amministratore e digitare coreinfo64 -v (per eseguire la versione a 64 bit del programma). La presenza di un asterisco a destra delle varie funzionalità, indica che esse sono effettivamente supportate dal sistema in uso.

Al momento la tecnologia KDP è già stata inserita da Microsoft nelle più recenti versioni di anteprima di Windows 10 destinate ai partecipanti al programma Windows Insider. Non è dato sapere quando KDP debutterà nella versione stabile del sistema operativo, verosimilmente in uno dei prossimi feature update.