Réduction de la Dépendance au Code en Mode Noyau : Les Nouvelles Pratiques de Sécurité de Microsoft

Introduction

Microsoft a récemment pris l’engagement de diminuer la dépendance des fournisseurs de cybersécurité au code en mode noyau, suite à un incident majeur impliquant CrowdStrike. Cet événement a mis en lumière les risques associés à l’utilisation de ce type de code dans les outils de sécurité.

Analyse de l’Incident

Dans un rapport technique publié, David Weston, vice-président de la sécurité des entreprises et des systèmes d’exploitation, a expliqué comment Microsoft a évalué l’impact de cet incident en se basant sur les rapports de plantage fournis par les utilisateurs. Cependant, il a souligné que tous les utilisateurs de Windows ne partagent pas ces rapports, ce qui complique l’évaluation précise des dommages.

Weston a noté que le nombre de dispositifs ayant généré des rapports de plantage ne représente qu’un sous-ensemble des appareils touchés. Microsoft a estimé que 8,5 millions d’ordinateurs Windows ont été affectés par le problème sans avoir reçu de rapport de plantage de chaque appareil concerné. La méthodologie utilisée pour établir ce chiffre n’a pas été précisée.

Les Risques du Code en Mode Noyau

Weston a justifié l’utilisation de pilotes en mode noyau, comme ceux de CrowdStrike, en soulignant qu’ils peuvent améliorer les performances et protéger les logiciels de sécurité contre les manipulations. Cependant, il a également averti que les fournisseurs de sécurité doivent peser ces avantages par rapport aux impacts négatifs potentiels sur la résilience des systèmes.

Lorsque le code en mode noyau échoue, comme cela s’est produit avec CrowdStrike, cela peut entraîner un plantage complet du système d’exploitation et de ses applications. Par conséquent, il est préférable de déplacer autant de traitements que possible en dehors du noyau, afin que les défaillances puissent être gérées sans perturber l’ensemble du système.

La Nature du Mode Noyau

Le mode noyau de Windows est un environnement de confiance où le code s’exécute près du matériel, sans beaucoup de protections. C’est un endroit idéal pour les moteurs de détection de logiciels malveillants, car ils ont une visibilité complète sur l’ordinateur pour détecter les intrusions. Cependant, si ces moteurs sont compromis, ils peuvent causer des dommages considérables ou exposer le système à d’autres attaques.

Weston a suggéré de déplacer des fonctions auxiliaires, comme l’analyse de fichiers de configuration, vers l’espace utilisateur, où les dommages seraient limités. Dans le cas de CrowdStrike, un code de pilote approuvé par Microsoft a été compromis par des fichiers de données malveillants, ce qui a conduit à une défaillance du système.

Meilleures Pratiques pour les Fournisseurs de Sécurité

Weston a souligné que les fournisseurs de sécurité doivent trouver un équilibre entre la visibilité et la résistance à la manipulation tout en opérant en mode noyau. Il a proposé que les fournisseurs utilisent des capteurs minimaux en mode noyau pour la collecte de données, tandis que d’autres fonctions essentielles, comme la gestion des mises à jour et l’analyse de contenu, devraient se dérouler en mode utilisateur.

Cette approche permettrait de minimiser l’utilisation du noyau tout en maintenant une posture de sécurité robuste. CrowdStrike a été invité à prendre note de ces recommandations.

Leçons à Retenir

Il est important de noter que CrowdStrike avait tenté de tester sa mise à jour défectueuse avant sa publication, mais le processus de validation n’a pas réussi à détecter les données corrompues. Cela souligne la nécessité de déplacer le code d’analyse de configuration vers l’espace utilisateur et d’améliorer les pratiques de test.

Initiatives de Microsoft

Weston a également mentionné que Microsoft dirige un forum industriel, le Microsoft Virus Initiative (MVI), où les fournisseurs de sécurité collaborent pour définir des points d’extension fiables et partager des informations sur la protection des clients. Microsoft prévoit de travailler avec l’écosystème anti-malware pour moderniser les approches de sécurité.

Les efforts de Microsoft se concentreront sur quatre axes principaux :

  1. Fournir des conseils et des meilleures pratiques pour un déploiement sécurisé des mises à jour des produits de sécurité.
  2. Réduire la nécessité pour les pilotes en mode noyau d’accéder à des données de sécurité critiques.
  3. Offrir des capacités d’isolement et de protection contre la manipulation grâce à des technologies comme les enclaves VBS récemment annoncées.
  4. Permettre des approches de confiance zéro, comme l’attestation d’intégrité élevée, pour évaluer l’état de sécurité des machines.

Conclusion

Les changements proposés par Microsoft visent à réduire la probabilité d’incidents similaires à celui de CrowdStrike à l’avenir. Cependant, la mise en œuvre de ces modifications nécessitera probablement des ajustements au sein de Windows. L’histoire de Microsoft en matière de sécurité est marquée par des incidents, et il est crucial que l’entreprise prenne des mesures pour éviter de nouveaux problèmes.

Tags:
Shares:
Show Comments (0)
Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *