Microsoft renforce la protection du kernel de Windows 10

17 juillet 2020 à 15h35
5
kernelwindows10

La fonction de protection des données du noyau (KDP) passe la mémoire en lecture seule, afin de minimiser les risques de corruption des données.

En matière de sécurité, Microsoft a imposé la signature des pilotes kernel depuis 2016. La société planche désormais sur une nouvelle fonction pour Windows 10 baptisée KDP (Kernel Data Protection). Pour l’instant implémentée dans la version Insider de Windows 10, cette « protection des données du noyau », en français, devrait permettre de nettement améliorer la sécurité des machines.

Une protection efficace contre la corruption des données

Parmi les différentes méthodes utilisées pour infecter un ordinateur, les pirates ont parfois recours à la corruption des données. Cette stratégie consiste à manipuler les données de pilotes logiciels clés afin de contourner la sécurité du système, par exemple en augmentant les privilèges ou en falsifiant l'attestation de sécurité, pour ensuite exécuter du code malveillant.

Afin de protéger les utilisateurs contre ce type d’attaques, la KDP passe la mémoire sur laquelle sont installés ces pilotes logiciels sensibles en mode « lecture seule » ; elle est ainsi préservée de toute modification indésirable. Pour cela, Microsoft mobilise une fonctionnalité intitulée VBS (Virtualization-based Security). Comme son nom l’indique, cette fonctionnalité repose sur un système de virtualisation qui isole certaines parties de la mémoire et les transforme en sortes d’enclaves sécurisées.

Dans un article très complet publié le 8 juillet dernier, Andrea Allievi, un membre de l’équipe « Security Kernel Core » de Microsoft, résume le procédé ainsi :

« La protection des données du noyau (KDP) est une nouvelle technologie qui empêche les attaques de corruption de données en protégeant des parties du noyau et des pilotes de Windows grâce à une sécurité basée sur la virtualisation (VBS). KDP est un ensemble d'API qui permet de marquer une partie de la mémoire du noyau en lecture seule, empêchant ainsi les attaquants de modifier la mémoire protégée. Par exemple, nous avons vu des pirates utiliser des pilotes signés, mais vulnérables, pour attaquer des structures de données stratégiques et installer un pilote malveillant et non signé. Le KDP atténue ces attaques en garantissant que les structures de données ne peuvent pas être altérées ».

Une protection généralisée dans les semaines ou mois à venir

Si la KDP concerne initialement les PC haut de gamme estampillés Secured-core, elle ne se bornera pas à ce type de machines. En effet, toujours selon Andrea Allievi, la VBS est prise en charge par tous les ordinateurs munis d’un processeur Intel, AMD ou ARM capables de gérer les extensions de virtualisation ainsi que la traduction d’adresses de deuxième niveau (EPT pour Intel, NPT pour AMD et Stage 2 pour ARM).

Bref, Microsoft généralisera sans aucun doute cette protection KDP sur la plupart des PC sous Windows 10. Reste à savoir quand. Andrea Allievi n’a donné aucune indication à ce sujet.

Source : Forbes

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
5
6
lapinouminou
c’est déjà opérationnel sur la version 1909 et la 2004 de Windows 10, c’est non seulement actif mais ça empêche le fonctionnement de Ryzen MASTER.
bmustang
…/ ? C’est quoi cet article alors ?
nirgal76
Le soucis est surtout avec Hyper-V non ?
TNZ
Cette fonction existe sous dans plein de noyaux Unix depuis plusieurs années. Il serait temps qu’ils se mettent à la page en terme de sécurité.
Sekki
Mais si on ne peut plus faire de modification de mémoire dans un programme … comment vont faire les gens qui trichent dans les jeux Videos pour pouvoir augmenter leur stats sans effort ? La fin du Cheat Engin ? Et les pletor de logiciel de cheat payant qui font ça ? C’est tout une branche de l’économie du gaming PC qui va s’effondrer !<br /> Et ben tant mieux :b
Voir tous les messages sur le forum

Derniers actualités

Apple : dans le Mac App Store aussi, on trouve des malwares chinois
Avec Darty, économisez 250€ pour l'achat du PC portable Huawei MateBook D15
Vous ne trouverez pas cette TV de 50
Ces écouteurs, dans leur version pro, sont à prix cassé aujourd'hui !
DJI bientôt dans votre maison grâce à son aspirateur robot
Faites vous rembourser 100€ sur cette smart TV de 55
Cette licence chez NordVPN est idéale pour gagner en cyberconfidentialité à bon prix
Les constructeurs américains mobilisés pour assurer le futur du cargo spatial Cygnus
WhatsApp vous proposera d'effacer un message 2 jours après son envoi
WhatsApp ajoute de nouvelles fonctionnalités de protection de votre vie privée, les voici
Haut de page