L'antivirus Windows Defender dans une sandbox !

Le par  |  8 commentaire(s)
Windows-Defender-logo

Windows Defender est en passe de devenir le premier antivirus avec une exécution de son moteur antimalware dans un environnement confiné de bac à sable.

Pour le moment, c'est un test qui s'adresse essentiellement au programme Windows Insider (Windows 10). Pour Windows Defender Antivirus sur Windows, Microsoft annonce la possibilité d'une exécution dans une sandbox.

Ce n'est pas rien, sachant que par nature, un antivirus a un accès profond au système et aux fichiers. Or, une sandbox (bac à sable) est synonyme d'un environnement contrôlé où une exécution de code se fait en limitant les interactions avec le reste du système d'exploitation.

En pratique, un utilisateur constatera un processus de contenu MsMpEngCP.exe s'exécutant en même temps que le service antimalware MsMpEng.exe, ou autrement dit le moteur de protection contre les logiciels malveillants de Microsoft (Microsoft Malware Protection Engine).

Ce dernier, qui s'exécute avec des privilèges d'accès élevés, n'analyse pas les fichiers. C'est un travail qui est à la charge du processus de contenu s'exécutant avec des privilèges d'accès faibles et bénéficiant de toutes les techniques de sécurité pour réduire une surface d'attaque.

windows-defender-sandbox

" Nous avons utilisé un modèle où la plupart des données de protection sont hébergées dans des fichiers mappés en mémoire qui sont en lecture seule au moment de l'exécution. " Dans un billet de blog, l'équipe Windows Defender Engineering explicite les modifications et ajustements nécessaires (comme pour ne pas altérer les performances) avec cette refonte autour de deux couches interagissant entre elles.

Microsoft précise que le déploiement se fera de manière graduelle pour les Windows Insiders et avec une analyse des retours pour affiner l'implémentation. Toutefois, les plus aventureux ont l'opportunité d'une activation manuelle dès la version 1703 de Windows 10 avec la commande (en mode administrateur) : setx /M MP_FORCE_USE_SANDBOX 1.

L'annonce a été saluée par le chercheur en sécurité Tavis Ormandy de Project Zero de Google. Il avait mis en lumière des vulnérabilités (qui ont été corrigées) dans MsMpEng - et donc le moteur antimalware de Microsoft - avec la possibilité d'exploiter sa recherche de code nuisible à ses dépens.

Ce hacker prolifique avec un beau tableau de chasse avait ainsi insisté sur l'existence de vulnérabilités parmi les plus graves dans Windows, compte tenu de l'omniprésence du service MsMpEng et ses privilèges élevés. Cela a manifestement titillé Microsoft...

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2038573
Si ça permet d'éviter les attaques contre le moteur d'analyse, c'est top
Le #2038579
J'ai envie d'y croire !! Mais avec le fiasco de la màj vers la version 1809 du système..... je ne peux pas avaler leurs propos comme du petit lait.....MS doit regagner ma confiance. On parle de sécurité la ...!!!

J'attends, tout en essayant sur un laptop que j'utilise à des fins ludiques pour tester l'efficacité de leur AV.
Le #2038580
Narcos a écrit :

J'ai envie d'y croire !! Mais avec le fiasco de la màj vers la version 1809 du système..... je ne peux pas avaler leurs propos comme du petit lait.....MS doit regagner ma confiance. On parle de sécurité la ...!!!

J'attends, tout en essayant sur un laptop que j'utilise à des fins ludiques pour tester l'efficacité de leur AV.


Clair que ces derniers temps, MS est pas au top en terme de fiabilité de leurs softs...
Le #2038582
Safirion a écrit :

Narcos a écrit :

J'ai envie d'y croire !! Mais avec le fiasco de la màj vers la version 1809 du système..... je ne peux pas avaler leurs propos comme du petit lait.....MS doit regagner ma confiance. On parle de sécurité la ...!!!

J'attends, tout en essayant sur un laptop que j'utilise à des fins ludiques pour tester l'efficacité de leur AV.


Clair que ces derniers temps, MS est pas au top en terme de fiabilité de leurs softs...


Tout le monde fait des erreurs. L'important et de voir comment l'erreur est gérée. Donc j'attends encore un peu.
Le #2038601
Toute façon un antivirus ça sert à quoi ?
A part pour les neuneux qui ouvrent tous les fichiers sans réfléchir et font n'importe quoi avec leur PC (j'exclus les chercheurs en sécurité et assimilé) ?
Le #2038608
CodeKiller a écrit :

Toute façon un antivirus ça sert à quoi ?
A part pour les neuneux qui ouvrent tous les fichiers sans réfléchir et font n'importe quoi avec leur PC (j'exclus les chercheurs en sécurité et assimilé ?


T'es au courant que le simple fait d'aller sur un site peut causer des dommages... et que parfois des sites officiels et tout ce qu'il y a de plus sûrs (Kaspersky c'était fait piraté par exemple,...) sont piégés et détournés sans qu'on puisse sans apercevoir ? Du coup l'antivirus il peut empêcher qu'on pique tes données à ton insu peut être ?
Le #2038618
CodeKiller a écrit :

Toute façon un antivirus ça sert à quoi ?
A part pour les neuneux qui ouvrent tous les fichiers sans réfléchir et font n'importe quoi avec leur PC (j'exclus les chercheurs en sécurité et assimilé ?


sous WIN10 il est illusoire de penser qu'on est à l'abri de tous les malwares. La majorité, et meme la minorité des utilisateurs ne sont pas des chercheurs en cyber-sécurité....
Le #2038711
L'idée est très bonne, des antivirus troués qui sont devenus eux même des failles, y'en a eu pas mal.. (coucou Trend)
Suivre les commentaires
Poster un commentaire
Anonyme
Anonyme