L’antivirus intégré à Windows continue d’évoluer et de s’améliorer. Un nouveau bouclier protège les utilisateurs contre les pilotes malveillants.

L’un des moyens en vogue pour infiltrer les postes Windows et mener des actions malveillantes sur la durée consiste à attaquer un pilote vulnérable ou à profiter d’une signature dérobée pour installer un pilote infecté au cœur de l’ordinateur.

Ce vecteur d’attaque est de plus en plus répandu. Et Microsoft a donc imaginé un nouveau bouclier pour tenter de freiner ce type de menaces. La fonctionnalité a été intégrée dans une mise à jour récente de Microsoft Defender, l’antivirus intégré à Windows 10 et Windows 11 mais aussi à Windows Server.

La fonctionnalité est automatiquement activée sur les PC utilisant Windows en « mode S » ou sur les PC où l’option HVCI (Hypervisor Protected Code Integrity) est activée. En revanche, elle ne l’est pas sur les autres machines Windows 10 et 11 car elle peut potentiellement engendrer des écrans bleus et des dysfonctionnements si les pilotes n’ont pas été vérifiés pour fonctionner avec les fonctions « d’intégrité de la mémoire » de Defender.

Ce nouveau bouclier, dénommé Microsoft Vulnerable Driver Blocklist, fait partie des protections avancées de Microsoft Defender telles que Credential Guard, Device Guard, AppLocker et Windows Defender Application Control. Il permet de bloquer l’utilisation de pilotes connus comme étant potentiellement vulnérables ou dangereux. Microsoft conseille aux administrateurs d’activer la fonctionnalité en mode « Audit » d’abord afin d’étudier le comportement des machines et de vérifier la liste des évènements générés par cette protection. La procédure d’activation manuelle est présentée dans le document : Microsoft recommended driver block rules (Windows)

Rappelons que Microsoft Defender est une brique essentielle de la défense de Windows. La protection vient encore se voir attribuer le label « TOP PRODUCT » avec un score de « 18/18 » par AV-TEST dans son dernier comparatif de février 2022.

Microsoft prévoit plusieurs autres améliorations à son outil défensif comme la fonctionnalité « Smart App » qui permet d’augmenter le niveau de protection du système lorsque des applications inconnues ou non validées par Microsoft sont exécutées. Cette fonctionnalité nécessite toutefois une installation à neuf du système pour être activée.

Un nouveau Microsoft Defender en approche...Par ailleurs, Microsoft veut faire de sa protection un bouclier universel pour toute la famille. Une nouvelle version Cloud est en cours de tests auprès de certains Windows Insiders américains. Celle-ci permet de piloter de façon centralisée toutes les protections des PC du foyer mais aussi celles des smartphones puisque l’antivirus existe pour Android et iOS (la version iOS se limitant à l’anti-phishing et au contrôle parental). Une version macOS serait aussi en préparation.

Rappelons qu’avec un chiffre d’affaires de plus de 15 milliards de dollars en 2021, la division cybersécurité de Microsoft est devenue une des plus importantes divisions de l’entreprise et qu’elle fait de Microsoft l’un des plus importants acteurs du marché de la cybersécurité, si ce n’est le plus important.


À lire également :

> Microsoft enquête sur un vol de ses codes sources par Lapsus$

> Microsoft décline Defender for Endpoint sur ARM

> Microsoft : une nouvelle acquisition en cybersécurité et des résultats annuels au Top !

> Microsoft s’offre l’expertise cybersécurité de RisqIQ pour 500 millions de dollars

> L’indispensable besoin de cybersécurité dans le domaine de la santé.

> Microsoft au cœur de la cyber-tempête Sunburst

> Pourquoi Microsoft est la plus grande entreprise de cybersécurité ?