L’antivirus intégré de Windows 10 peut désormais s’exécuter dans un bac à sable. Même si un attaquant compromet le moteur antivirus, il n’aura pas accès au reste du système. Comme Google Tavis Ormandy dit-il, « cela change la donne. »
En fait, Windows Defender est le premier produit antivirus complet pouvant s’exécuter dans un bac à sable. Aucun des produits antivirus payants (ou gratuits) que vous pouvez télécharger ne dispose de cette fonctionnalité.
Cette nouvelle vient du fonctionnaire Microsoft Secure Blog. Comme le dit Microsoft:
Les chercheurs en sécurité à l’intérieur et à l’extérieur de Microsoft ont déjà identifié des moyens par lesquels un attaquant peut tirer parti des vulnérabilités des analyseurs de contenu de Windows Defender Antivirus qui pourraient permettre l’exécution de code arbitraire. Bien que nous n’ayons pas vu d’attaques dans la nature ciblant activement l’antivirus Windows Defender, nous prenons ces rapports au sérieux…
L’exécution de l’antivirus Windows Defender dans un bac à sable garantit que dans le cas improbable d’un compromis, les actions malveillantes sont limitées à l’environnement isolé, protégeant ainsi le reste du système des dommages.
En d’autres termes, le processus antivirus de Windows Defender qui analyse les fichiers téléchargés et d’autres contenus s’exécutera avec très peu d’autorisations. Même s’il y avait un bogue dans le processus antivirus et qu’un fichier conçu de manière malveillante parvenait à compromettre l’antivirus lui-même, ce processus antivirus désormais dangereux ne fournirait aucun accès au reste de votre système. L’attaque aurait échoué.
Bien sûr, un antivirus a encore besoin d’un accès important à votre système. Mais le principal processus antivirus qui s’exécute avec beaucoup d’autorisations n’analysera pas les fichiers. Il transfère le contenu à un processus sandbox à faibles privilèges, qui effectue le travail sale et dangereux dans une zone sécurisée.
Le billet de blog de Microsoft décrit ensuite comment cette fonctionnalité a été mise en œuvre sans aucune baisse notable des performances:
Les performances sont souvent la principale préoccupation soulevée par le sandboxing, d’autant plus que les produits anti-programme malveillant se trouvent dans de nombreux chemins critiques tels que l’inspection synchrone des opérations sur les fichiers et le traitement et l’agrégation ou la correspondance d’un grand nombre d’événements d’exécution. Pour garantir que les performances ne se dégradent pas, nous avons dû minimiser le nombre d’interactions entre le bac à sable et le processus privilégié, et en même temps, n’effectuer ces interactions que dans les moments clés où leur coût ne serait pas significatif, par exemple, lorsque IO est en cours d’exécution.
Il y a beaucoup plus de détails que ça dans Article de blog de Microsoft, alors vérifiez-le si vous êtes intéressé.
Quand l’obtiendrez-vous?
Bien que cette fonctionnalité soit intéressante, elle n’est pas activée par défaut sur les systèmes Windows 10 – pour le moment. Microsoft dit qu’il «activera progressivement» cette fonctionnalité pour Windows Insiders et analysera son fonctionnement dans le monde réel.
Attention: Microsoft n’est pas encore assez confiant dans cette fonctionnalité pour l’activer par défaut pour tout le monde, vous pouvez donc rencontrer des bogues après l’avoir activée. Nous l’avons activé sur notre système et tout semblait bien fonctionner, cependant.
Pour activer cette fonctionnalité aujourd’hui, lancez une invite de commandes ou une fenêtre PowerShell en tant qu’administrateur, exécutez la commande suivante, puis redémarrez votre PC:
setx /M MP_FORCE_USE_SANDBOX 1
Cette commande fonctionne sur Windows 10 version 1703, également connue sous le nom de Creators Update, et les versions plus récentes de Windows 10. Cette version de Windows 10 a été publiée en avril 2017, donc votre PC a presque certainement cette version ou une version plus récente maintenant.
Si vous souhaitez annuler cette modification, exécutez la même commande, en remplaçant le «1» par un «0», et redémarrez votre PC à nouveau. Si vous rencontrez des problèmes lors du démarrage de votre PC pour une raison quelconque, essayez de démarrer en mode sans échec, puis d’exécuter la commande.
Après avoir activé le bac à sable, vous verrez un processus de contenu spécial nommé MsMpEngCP.exe avec moins d’autorisations en cours d’exécution parallèlement au processus antimalware MsMpEng.exe standard.
Le processus Windows Defender en bac à sable, comme le montre Microsoft Explorateur de processus.
Nous étions autrefois assez critiques de l’antivirus de Microsoft, mais nous pensons que les dernières versions sont plutôt bonnes. Nous vous recommandons d’utiliser Windows Defender pour assurer la sécurité de votre PC sans aucune des ventes incitatives et des bogues que les logiciels antivirus tiers apportent. Et il est inclus par défaut avec Windows 10, de sorte que tous les utilisateurs de Windows disposent enfin d’un antivirus solide.
Nous souhaitons juste que l’antivirus de Microsoft soit plus agressif pour bloquer les logiciels malveillants par défaut.
Crédit d’image: Gorlov-KV/Shutterstock.com, Microsoft
