Microsoft renforce la protection du kernel de Windows 10

17 juillet 2020 à 15h30
0

La fonction de protection des données du noyau (KDP) passe la mémoire en lecture seule, afin de minimiser les risques de corruption des données.

En matière de sécurité, Microsoft a imposé la signature des pilotes kernel depuis 2016. La société planche désormais sur une nouvelle fonction pour Windows 10 baptisée KDP (Kernel Data Protection). Pour l’instant implémentée dans la version Insider de Windows 10, cette « protection des données du noyau », en français, devrait permettre de nettement améliorer la sécurité des machines.

Une protection efficace contre la corruption des données

Parmi les différentes méthodes utilisées pour infecter un ordinateur, les pirates ont parfois recours à la corruption des données. Cette stratégie consiste à manipuler les données de pilotes logiciels clés afin de contourner la sécurité du système, par exemple en augmentant les privilèges ou en falsifiant l'attestation de sécurité, pour ensuite exécuter du code malveillant.

Afin de protéger les utilisateurs contre ce type d’attaques, la KDP passe la mémoire sur laquelle sont installés ces pilotes logiciels sensibles en mode « lecture seule » ; elle est ainsi préservée de toute modification indésirable. Pour cela, Microsoft mobilise une fonctionnalité intitulée VBS (Virtualization-based Security). Comme son nom l’indique, cette fonctionnalité repose sur un système de virtualisation qui isole certaines parties de la mémoire et les transforme en sortes d’enclaves sécurisées.

Dans un article très complet publié le 8 juillet dernier, Andrea Allievi, un membre de l’équipe « Security Kernel Core » de Microsoft, résume le procédé ainsi :

« La protection des données du noyau (KDP) est une nouvelle technologie qui empêche les attaques de corruption de données en protégeant des parties du noyau et des pilotes de Windows grâce à une sécurité basée sur la virtualisation (VBS). KDP est un ensemble d'API qui permet de marquer une partie de la mémoire du noyau en lecture seule, empêchant ainsi les attaquants de modifier la mémoire protégée. Par exemple, nous avons vu des pirates utiliser des pilotes signés, mais vulnérables, pour attaquer des structures de données stratégiques et installer un pilote malveillant et non signé. Le KDP atténue ces attaques en garantissant que les structures de données ne peuvent pas être altérées ».

Une protection généralisée dans les semaines ou mois à venir

Si la KDP concerne initialement les PC haut de gamme estampillés Secured-core, elle ne se bornera pas à ce type de machines. En effet, toujours selon Andrea Allievi, la VBS est prise en charge par tous les ordinateurs munis d’un processeur Intel, AMD ou ARM capables de gérer les extensions de virtualisation ainsi que la traduction d’adresses de deuxième niveau (EPT pour Intel, NPT pour AMD et Stage 2 pour ARM).

Bref, Microsoft généralisera sans aucun doute cette protection KDP sur la plupart des PC sous Windows 10. Reste à savoir quand. Andrea Allievi n’a donné aucune indication à ce sujet.

Source : Forbes

Modifié le 17/07/2020 à 15h35
5
6
Partager l'article :
Voir tous les messages sur le forum

Les actualités récentes les plus commentées

Vignette Crit'air : vers un durcissement des conditions d'obtention
Barbara Pompili, ministre de la transition écologique, qualifie le réacteur EPR de
Face à de très mauvais résultats financiers, EDF s'apprête à se serrer la ceinture
Pollution : un think tank britannique demande à interdire les publicités pour les SUV
Plus de 700 km d'autonomie annoncés pour la Mercedes EQS
Quand Elon Musk affirme que les pyramides ont été érigées par des aliens, l'Égypte l'invite sur place
Depuis 2011, Hadopi c'est 87 000 euros d'amende pour... des dizaines de millions d'euros de subventions !
AMD : fleuron de la future cuvée Zen 3, le Ryzen 9 4950X pourrait monter à 4,8 GHz
Projet ATTOL : Airbus fait rouler, décoller et atterrir un avion commercial de façon autonome
Les employés de Blizzard font la lumière sur d'inquiétantes disparités salariales
scroll top